fa poc es va donar a conèixer el llançament de la nova versió del tallafocs de gestió dinàmica firewalld 1.2, implementat en forma de contenidor sobre els filtres de paquets nftables i iptables.
Per als que desconeixen de Firewalld, els puc dir que és un tallafocs dinàmic administrable, amb suport per a zones de xarxes per definir el nivell de confiança de les xarxes o interfícies que utilitzeu per connectar-vos. Té suport per a configuracions IPv4, IPv6 i ponts d'ethernet.
A més, firewalld manté de forma separada una configuració en execució i una altra permanent. Així doncs, firewalld també ofereix una interfície perquè les aplicacions puguin afegir regles al tallafocs de manera còmoda.
El model de tallafocs anterior (system-config-firewall/lokkit) era estàtic i cada canvi requeria un reinici complet del tallafoc. Això suposava haver de descarregar els mòduls del tallafocs del nucli (ex: netfilter) i recarregar-los de nou a cada configuració. A més, aquest reinici suposava perdre informació d'estat de les connexions establertes.
Per contra, firewalld no requereix reiniciar el servei per aplicar una nova configuració. Per tant, no cal recarregar els mòduls del nucli. L'únic inconvenient és que perquè tot això funcioni correctament, la configuració del tallafocs s'ha de fer a través de firewalld i les seves eines de configuració (firewall-cmd o firewall-config). Firewalld és capaç d'afegir regles utilitzant la mateixa sintaxi que les ordres {ip,ip6,eb}tables (regles directes).
El servei també ofereix informació sobre la configuració actual del tallafocs per mitjà de DBus, i també poden afegir-se noves regles, utilitzant PolicyKit per al procés d'autenticació.
Firewalld s'executa com un procés en segon pla que permet que les regles de filtratge de paquets es canviïn dinàmicament a través de D-Bus sense haver de tornar a carregar les regles de filtratge de paquets i sense desconnectar les connexions establertes.
Per administrar el tallafocs, s'utilitza la utilitat tallafocs-cmd que, en crear regles, no es basa en les adreces IP, les interfícies de xarxa i els números de port, sinó en els noms dels serveis (per exemple, per obrir l'accés a SSH, necessita per executar firewall-cmd – add — service=ssh», per tancar SSH – firewall-cmd –remove –service=ssh).
La interfície gràfica firewall-config (GTK) i el subprograma firewall-applet (Qt) també es poden fer servir per canviar la configuració del firewall. La compatibilitat amb la gestió de tallafocs mitjançant D-BUS API firewalld està disponible en projectes com NetworkManager, libvirt, podman, docker i fail2ban.
Principals novetats de firewalld 1.2
En aquesta nova versió s'han implementat els serveis snmptls i snmptls-trap per gestionar l'accés al protocol SNMP mitjançant un canal de comunicació segur.
També es destaca que es va implementar un servei que admet el protocol utilitzat al sistema de fitxers IPFS descentralitzat.
Un altre dels canvis que es destaca d'aquesta nova versió, és que es van afegir serveis amb suport per la gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
A més, també es destaca que s'ha afegit el mode d'inici a prova de falles, que permet, en cas de problemes amb les regles especificades, tornar a la configuració predeterminada sense deixar el host desprotegit.
Dels altres canvis que es destaquen d'aquesta nova versió:
- S'ha afegit el paràmetre “log-target”.
- Bash brinda suport per a l'autocompletat de comandes per treballar amb regles.
- S'ha afegit una versió segura dels components del pla del controlador k8s
Si estàs interessat en poder conèixer més sobre aquesta nova versió, pots consultar els detalls al següent enllaç.
Obtenir Firewalld 1.2
Finalment per als que estiguin interessats en poder instal·lar aquest Firewall, han de saber que el projecte ja està en ús en moltes distribucions de Linux, incloses RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. El codi de firewalld està escrit a Python i es distribueix sota la llicència GPLv2.
Podeu obtenir el codi font per a la seva compilació des del següent enllaç.
Pel que fa a la part d'un manual d'ús, et puc recomanar el següent.