CentOS 8におけるfirewalldのdirectルール・続き

CentOS8

先日の以下の記事の続き。
shobon.hatenablog.com


ドキュメントにそれっぽい事があった。

firewalld.org

たぶん、以下の部分。

Due to implementation details of netfilter inside the kernel, if FirewallBackend=nftables is used direct rules that ACCEPT packets don't actually cause the packets to be immediately accepted by the system.

ドキュメントの上記の説明の下に4つ書いてあるのが回避策。

1.Rich Rules

リッチルールで書け、という尤もな手順。

2.Blanket Accept

zone=trusted にする、、、directルールの最後で拒否を書き忘れたらアウトな気がする。

3.Selective Accept

関連するサービスやポートを個別に許可する、、、ってdirectルールと二重で管理する事になる。

4.Revert to the iptables backend

バックエンドをiptablesにする。
これが前回の記事での苦し紛れの手だった。


1番から4番まで、バックエンドでiptablesを指定するのが推奨されない事を考えると、素直にリッチルールで書くのが最善。

という訳で、バックエンドをnftablesに戻して、リッチルールで書き直した(´・ω・`)