Documentação do Oracle Cloud Infrastructure

Configurando Firewalls de Filtragem de Pacotes

É possível configurar um firewall para:
  • Filtrar pacotes de rede de entrada e saída com base nas informações do cabeçalho do pacote,
  • Redirecionar pacotes, como com tradução de endereço de rede (NAT),
  • Realizar espelhamento de pacotes,
  • Executar inspeção profunda de pacotes,
  • Pacotes aceitos ou rejeitados com base em regras.

O kernel do Oracle Linux usa a funcionalidade Netfilter para fornecer a funcionalidade de filtragem de pacotes para IPv4, IPv6, inet, arp, bridge e netdev.

O Netfilter consiste nos seguintes componentes:

  • Um componente do kernel netfilter que consiste em um conjunto de tabelas na memória para as regras que o kernel usa para controlar a filtragem de pacotes de rede.

  • Utilitários para criar, manter e exibir as regras que o netfilter armazena. O utilitário de firewall padrão é o firewall-cmd, fornecido pelo pacote firewalld.

As estruturas de filtragem de pacotes padrão variam de acordo com a versão. Use a orientação específica da versão nas guias a seguir.

O firewall baseado em firewalld tem as seguintes vantagens:

  • O utilitário firewalld-cmd não reinicia o firewall e interrompe as conexões TCP estabelecidas.

  • O firewalld suporta zonas dinâmicas, que permitem implementar diferentes conjuntos de regras de firewall para sistemas como laptops que podem se conectar a redes com diferentes níveis de confiança. No entanto, esse recurso geralmente não é usado em sistemas de servidor.

  • O firewalld oferece suporte ao D-Bus para melhor integração com serviços que dependem da configuração do firewall.

  • firewalld abrange a maioria dos casos de uso básicos

Para cenários mais complexos, considere criar e configurar o nftables diretamente em vez de usar o firewalld. Por exemplo, considere configurar nftables diretamente para cenários como:
  • Onde você precisa de controle direto sobre netfilter,
  • Onde você precisa de alto desempenho,
  • Ao usar regras complexas,
  • Ao lidar com requisitos de rede específicos ou avançados.

Desative o serviço firewalld antes de configurar e usar o nftables diretamente para evitar situações em que cada serviço possa influenciar um ao outro.

  • No Oracle Linux 8, o firewalld usa a estrutura iptables como seu backend de filtragem de pacotes padrão.

  • O framework nftables é o backend de filtragem de pacotes padrão para firewalld e substitui o framework iptables usado nas releases anteriores. O nftables integra-se ao netfilter e inclui recursos de classificação de pacotes, maior conveniência e melhor desempenho em iptables.

  • O framework nftables é o backend de filtragem de pacotes padrão para firewalld. Ele se integra ao netfilter e inclui instalações de classificação de pacotes, maior conveniência e melhor desempenho.