我可以同时使用iptables、Shorewall和ipset吗？

Question

多年来我一直在使用iptable，因为它是一个简单的解决方案，没有任何魔力。但是现在我正在为自己构建一个路由器，我发现Shorewall提供了许多有用的特性。

可以同时使用iptable和Shorewall吗？我知道肖尔沃尔只是iptables的前身。但我不知道是否引起了冲突。

此外，我需要阻止大量的地址，所以ipset是完美的解决方案。使用这三个防火墙安全吗？

Answer 1

正如你所说：

海岸墙只是iptables的前端

那么，在你看来，有什么很好的理由可以同时使用呢？

此外，ipsets可以与纯iptables一起使用，但是Shorewall也支持ipsets：http://www.shorewall.net/ipsets.html

所以，我想说:使用iptables或Shorewall (作为前端)。

这两种方法都没有意义。

Answer 2

Shorewall和ipset是完全互补的，鞋墙就像上面所说的正确管理iptable的前端工具。Ipset是一种工具，可以更有效地列出大的ips集，因此它们可以一起工作，并且大部分是我所知道的所有sysadmin推荐的。

需要注意的主要问题是，为了让岸壁与ipset一起工作，您的内核需要支持ipset匹配. (IPSET_MATCH)。若要检查您的服务器是否支持它，请运行：

$ shorewall show -f capabilities | grep IPSET_MATCH

你应该看到：

IPSET_MATCH=Yes

为了能够使用岸壁与ipset。这种支持完全取决于您的内核和操作系统。

我的经验是，为了使它发挥作用，我需要将iptables和ipset包更新为最后一个版本：

iptables v1.6.0
ipset v6.27, protocol version: 6

因为在该版本中，对ipset匹配的支持是由包添加的。您可以阅读ipset的变化量g。但是您的内核可能已经支持它了。由于这个包版本不在Jessie存储库中(至少现在是这样)，我需要从测试存储库中安装它们，这不是最值得推荐的方法，但它工作得很好。