我正在运行一个低内存 VPS,使用 CentOS 8。我注意到该firewalld服务使用了太多内存(高达 20%)。所以我想最好切换到仅使用内置的nftables。
我对旧版本iptables和firewalld语法都很熟悉。但是,我对语法和配置不太熟悉nftables(目前由于时间限制,我没法学习并手动重写)。
是否可以导出现有firewalld规则以便nftables“直接”使用它们,并且可以完全禁用firewalld服务?
PS在这样的配置下可以直接fail2ban使用吗?nftables
编辑:这不是预算/RAM增加的问题。该虚拟机在现有的内部部署基础设施上运行,没有多余的资源,因此它的 RAM 限制为 256MB(OpenVZ),而且不幸的是,如果不更新基础设施,就无法轻易扩大,但这超出了我的职责范围(而且重建基础设施所需的时间比简单地将配置从firewalld 导出到 nftables 要长得多)。
目前它运行正常,但使用了几乎所有的 RAM,所以我正在寻找优化它的方法。据我所知,firewalld它只是 的一个前端nftables,所以我的想法是只使用它进行配置,并将主要工作留给nftables- 如果可能的话。
答案1
我不熟悉 nftables 语法和配置(并且目前由于时间限制我无法学习它并手动重写)。
如果您不打算学习 nftables,请保留防火墙。冒着配置错误的防火墙的风险是不值得的,这也许只是节省了几十 MB 的 RAM。希望您的时间足够宝贵,您可以证明租用资源稍多一些的 VM 是合理的,然后就可以完成。(如果这是必要的,我不相信您有性能问题。)
防火墙规则不是一次性的事情,最终它们将需要更新。您如何确保从现在起 6 个月内,这个写入防火墙和转换过程将得到遵循?
EPEL 8 fail2ban-firewalld 软件包自然是基于防火墙的。很容易切换到基于 nftables 的 jail,但这仍然是您需要测试的配置。