Изучаем GNU/Linux часть 46. Межсетевой экран - firewalld⁠⁠

Никогда не понимал любовь людей к iptables. Ужасно неудобный синтаксис, отсутствие демона, неудобно читать, особенно когда много правил, да и его давно заменили на nftables. Но нет, почему-то кто-то до сих пор цепляется за это..

Вы о сетевых файрволах, которые стоят на шлюзах?
Если о них, то хорошая безопасность строится из принципа "mitigation", т.е. смягчение. Нужно представить, что вас уже взломали и взломщик распространяется по всей сети. Если внутри сети в рамках одного влана у вас нет микросегментации, то у вас весь прод может пойти к чертям.
Если private вланы стоят, то нужно весь трафик гонять через сетевой фаер, а это куча денег на него, да и страдает трафик.
Если весь трафик внутри кластера, то нужен  какой-нибудь NSX или Nutanix Flow применять, но это тоже много денюжек надо.

Или вы о каких-то коммерческих персональных фаерах, которые стоят на всяких антивирях? Ну, тоже решение, но не все ставят антивирь на линуксы. Да и какая разница, кроме централизованного управления?

В общем, встроенные файрволы штука важная, если грамотно строить сеть.

Ну, железный файр защищает только на L3 уровне, если только не гонять L2 трафик через него, но это не всегда хорошее решение. Всё таки даже на L2 нужно защищать сервера друг от друга.
Да, куча всего - ansible, chef, puppet, ну и всё такое

Файер в коммутаторах? Конечно видел. И даже настраивал.

Просто вы сказали о том, что настраивали, и тема ушла куда-то не в ту сторону

Я не привязываю свитч только к L3,  но роутинг на свитчах - это дополнительный функционал. А когда говорят firewall на свитчах..  То тут уже нет функционала свитча - только L3+.

Скажем, есть Mellanox свитчи с Cumulus linux, на котором можно поднять докер, вебсервер, да и почти любой линуксовый софт. Но насколько правильно говорить "я поднял на свитче докер с вебсервером"? Да, это возможно, но к свитчингу отношения не имеет.

файр не может быть в чистом коммутаторе, что он будет блокировать, mac адреса? ну это уже не файр.
fw начинается минимум с l3, чтобы блокировать хотя бы на уровне айпи, а то и l4. А l3 - это уже маршрутизатор
Ну или l3 свитчи с acl-ами

Да, в привычном понимании аксес влан - нетегированный. Неудачный термин выбрали форти

802.1x всё таки про другое

С циско свитчами не работал, но в фортинете есть понятие "Access VLANs " . И это не те акссесс вланы, о которых все думают. Вкратце

Access VLANs are VLANs that aggregate client traffic solely to the FortiGate unit. This prevents direct client-to-client traffic visibility at the layer-2 VLAN layer. Clients can only communicate with the FortiGate unit. After the client traffic reaches the FortiGate, the FortiGate unit can then determine whether to allow various levels of access to the client by shifting the client's network VLAN as appropriate.

Т.е. в таких вланах свитчи посылают L2 трафик на файрвол, без всякой маршрутизации. А файрвол уже по правилам может пускать или запрещать. Интересная штука, кажется у циско это называется private vlan, но могу ошибаться

Ну, я не видел, чтобы кто-то каждый сервак выводил в /30. В большинстве компаний есть разделение по вланам даже внутри прода, но, опять же, множество машин находится в одной L2 сети. А это значит, что трафик между этими машинами не проходит через файрвол. Он видит только то, что проходит через GW. Это я и имел ввиду, когда говорил "защищает только L3".

Не соглашусь с вами. Тот же "Петя" и "ваннакрай" должны были научить админов, что компы нужно защищать друг от друга, иначе одно солнечное утро испортит ближайший месяц, если не больше.