帮忙处理了一次firewalld的异常情况,ERROR:dbus.proxies:Introspect error

事情是这样的,某天收到一封邮件,邮件原文如下
———————–
搜索看到了你发表的这篇帖子文章。
现在如下我安装一台云服务器，CentOS7，开启了firewall：systemctl start firewalld
同时复制了ssh.xml、http.xml、https.xml到了/etc/firewalld/services此目录下（ http,https这三个也复制到了public.xml），SSH端口暂时默认22，那么我如果要 指定的ip段才能访问ssh端口 是否只在（手动编辑）public.xml
添加了…
类似这样的呢？
奇怪的是手动编辑添加了少量的好像可以firewall-cmd –complete-reload成功、
但当添加的达到了几千条就不行了！出现了这样的：
ERROR:dbus.proxies:Introspect error on :1.30:/org/fedoraproject/FirewallD1: dbus.exceptions.DBusException: org.freedesktop.DBus.Error.NoReply: Did not receive a reply. Possible causes include: the remote application did not send a reply, the message bus security policy blocked the reply, the reply timeout expired, or the network connection was broken.
不清楚是怎么回事？！

结果是想请教一下这个firewall如何添加配置呢？我的目的是只让指定的一些IP段能访问指定的端口，其他的IP段屏蔽drop掉。不知我以上的实现步骤哪里出错了，还请赐教，谢谢。
———————–

好了,以上是某网友看到我的文章,给我发了一封邮件.我也快速的给了回复,这个问题我并没有碰到过.所以还是去搜索,搜索,再搜索.
不废话了.直接放邮件的回复.

———————–
你好 我这里测试了 也通过谷歌搜索了一大圈. 你说的那个问题 只是卡住而已 并不是不好使. 执行8000多行需要非常多的时间
报错之后不用去管他 等他结束就行 那个报错是dbus等不到返回数据导致的.并不影响firewall

通过搜索 找到这些资料
1 firewalld这玩意 每次在执行的时候都消耗大量的cpu (这玩意是python写的)
2 你的这个问题是dbus报出来的 确定是官方的一个bug 但是不确定本地的版本是不是也存在这个问题
3 dbus的配置文件我都修改过 加大也没用
4 可以尝试编译安装firewall一整套东西来测试(我没测试 太麻烦了)

这几个是搜到的资料 再一个 很多老外也有和你一样的问题. 大部分都建议,如果这么大的量,还是iptables吧

iptables 和 firewall 都是一个外壳 内部调用的都是 netfilter
iptables 每一条命令都是独立的
firewall和iptables本质的区别是 区域(zone)这个东西.
在实际使用的时候,如果你真的这么ip需要设置,那维护的成本都有点高了
建议你先去尝试规划,单纯的测试数量意义不大
这么大的量 也基本没法维护, 如果你真的有这个需求. 可以发邮件 我帮你参考参考
———————–

好吧,实在对不住没留当时搜索到的各种链接. 合理的规划业务是最好的选择.就到这里.

最后编辑：2018-01-04

作者：王, 帅

这个作者貌似有点懒，什么都没有留下。

站内专栏