どうしてみんな firewalld で --runtime-to-permanent を使わないのか

最近、firewalld の使い方でとんでもない勘違いを犯していたことに気づいてしまいました。

firewalld のルールを編集する場合、--permanent オプションをつけてルールを設定をファイルに保存してから、それを --reload で読み込むように解説しているサイトが多いと思います。例えば http を開放する場合には以下のような感じです。

これは --permanent をつけていないと再起動したときにルールが消えてしまうためなので、僕もこのやり方がスタンダードだとずっと思ってきたのですが、改めてマニュアルを改めて読んでいて --runtime-to-permanent^*1 というコマンドがあることに気づきました。

--runtime-to-permanent は読んで字のごとく、現在適用されているルールを設定ファイルに書込むという処理です。

前述のやり方の難点はルール適用の結果を確認することなく、先にファイルに設定を書込んでしまうこと。
要はルールの設定を間違えた場合に元に戻すのが非常に面倒なんですね。

例えば、前述の処理を --runtime-to-permanent を使って書き直すと以下のようになります。

ちょっとコマンドが長いので覚え辛いところが難点ですが、これであれば適用したルールが間違っていた場合に --runtime-to-permanent の代わりに firewall-cmd --reload を使うと、ルールを適用する前の状態に簡単に戻すことができます。使い方的にはこっちの方が合理的ですよね。

• ^*1: Documentation - Manual Pages - firewall-cmd | firewalld