наскоро стартирането на новата версия на защитната стена за динамично управление защитна стена 1.2, имплементиран като обвивка върху филтрите за пакети nftables и iptables.
За тези, които не са запознати с Firewalld, мога да ви кажа това е управляема динамична защитна стена, с поддръжка за мрежови зони, за да определите нивото на доверие на мрежите или интерфейсите, които използвате за свързване. Има поддръжка за IPv4, IPv6 конфигурации и Ethernet мостове.
Също така защитна стена поддържа работеща конфигурация и постоянна конфигурация отделно. По този начин firewalld предоставя и интерфейс за приложения за добавяне на правила към защитната стена по удобен начин.
Старият модел на защитната стена (system-config-firewall/lokkit) беше статичен и всяка промяна изискваше пълно нулиране на защитната стена. Това означаваше да трябва да разтоварите модулите на защитната стена на ядрото (напр. netfilter) и да ги презареждате отново при всяка конфигурация. В допълнение, това рестартиране означаваше загуба на информацията за състоянието на установените връзки.
От друга страна, firewalld не изисква рестартиране на услугата, за да приложи нова конфигурация. Следователно не е необходимо да презареждате модулите на ядрото. Единственият недостатък е, че за да работи всичко това правилно, конфигурацията на защитната стена трябва да се извърши чрез firewalld и неговите инструменти за конфигуриране (firewall-cmd или firewall-config). Firewalld може да добавя правила, използвайки същия синтаксис като командите {ip,ip6,eb}tables (директни правила).
Услугата също предоставя информация за текущата конфигурация на защитната стена чрез DBusи по същия начин могат да се добавят нови правила, като се използва PolicyKit за процеса на удостоверяване.
Firewalld работи като фонов процес, който позволява правилата за филтриране на пакети да се променят динамично през D-Bus без презареждане на правилата за филтриране на пакети и без прекъсване на установени връзки.
За управление на защитната стена се използва помощната програма firewall-cmd който при създаване на правила не се основава на IP адреси, мрежови интерфейси и номера на портове, а на имената на услуги (например, за да отворите SSH достъп, трябва да изпълните „firewall-cmd – add — service=ssh“ , за да затворите SSH – „firewall-cmd –remove –service=ssh“).
Графичният интерфейс firewall-config (GTK) и аплетът firewall-applet (Qt) също могат да се използват за промяна на настройките на защитната стена. Поддръжка за управление на защитна стена чрез D-BUS API firewalld е достъпна от проекти като NetworkManager, libvirt, podman, docker и fail2ban.
Основни нови характеристики на защитната стена 1.2
В тази нова версия услугите snmptls и snmptls-trap са внедрени за управление на достъпа до SNMP протокола чрез защитен комуникационен канал.
Също така се подчертава, че внедри услуга, която поддържа протокола, използван във файловата система IPFS децентрализирана.
Друга от промените, които се открояват в тази нова версия, е тази бяха добавени услуги с поддръжка за gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-only.
В допълнение към това се подчертава и това добавен режим на безопасно стартиране, което позволява, в случай на проблеми с посочените правила, да се върне към конфигурацията по подразбиране, без да оставя хоста незащитен.
От останалите промени които се открояват от тази нова версия:
- Добавен е параметър „–log-target“.
- Bash осигурява поддръжка за автоматично довършване на команди за работа с правила.
- Добавена е безопасна версия на компонентите на чертежа на драйвера k8s
Ако се интересувате да научите повече за тази нова версия, можете да се консултирате с подробностите в следваща връзка.
Вземете Firewalld 1.2
И накрая за тези, които са интересуват се от възможността да инсталират тази защитна стена, трябва да знаете, че проектът вече се използва в много Linux дистрибуции, включително RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Кодът на защитната стена е написан на Python и е издаден под лиценз GPLv2.
Можете да получите изходния код за вашата компилация от линка по-долу.
Що се отнася до частта от ръководството за потребителя, Мога да препоръчам следното.