nylig lanceringen af den nye version af den dynamiske administrations firewall firewalld 1.2, implementeret som en indpakning oven på nftables- og iptables-pakkefiltrene.
For dem, der ikke kender til Firewalld, kan jeg fortælle dig det er en håndterbar dynamisk firewall, med understøttelse af netværkszoner for at definere tillidsniveauet for de netværk eller grænseflader, du bruger til at forbinde. Den understøtter IPv4, IPv6-konfigurationer og ethernet-broer.
Også firewalld opretholder en kørende konfiguration og en permanent konfiguration separat. Firewalld giver således også en grænseflade til applikationer til at tilføje regler til firewallen på en bekvem måde.
Den gamle firewall-model (system-config-firewall/lokkit) var statisk, og hver ændring krævede en fuld firewall-nulstilling. Dette betød, at man skulle aflæse kernel firewall-moduler (f.eks. netfilter) og genindlæse dem igen ved hver konfiguration. Derudover betød denne genstart, at man mistede statusoplysningerne for de etablerede forbindelser.
Derimod firewalld kræver ikke en genstart af tjenesten for at anvende en ny konfiguration. Derfor er det ikke nødvendigt at genindlæse kernemoduler. Den eneste ulempe er, at for at alt dette skal fungere korrekt, skal firewall-konfigurationen udføres gennem firewalld og dens konfigurationsværktøjer (firewall-cmd eller firewall-config). Firewalld er i stand til at tilføje regler ved hjælp af samme syntaks som {ip,ip6,eb}tables-kommandoerne (direkte regler).
Tjenesten giver også information om den aktuelle firewall-konfiguration via DBus, og på samme måde kan nye regler også tilføjes ved hjælp af PolicyKit til godkendelsesprocessen.
Firewalld kører som en baggrundsproces, der gør det muligt at ændre pakkefilterregler dynamisk over D-Bus uden at genindlæse pakkefilterregler og uden at afbryde etablerede forbindelser.
Til at administrere firewallen bruges hjælpeprogrammet firewall-cmd som ved oprettelse af regler ikke er baseret på IP-adresser, netværksgrænseflader og portnumre, men på navnene på tjenester (for at åbne SSH-adgang, skal du f.eks. køre “firewall-cmd – add — service=ssh” , for at lukke SSH – “firewall-cmd –remove –service=ssh”).
Firewall-config (GTK) grafisk grænseflade og firewall-applet (Qt) applet kan også bruges til at ændre firewall-indstillinger. Support til firewall-styring via D-BUS API-firewalld er tilgængelig fra projekter som NetworkManager, libvirt, podman, docker og fail2ban.
De vigtigste nye funktioner i firewalld 1.2
I denne nye version snmptls og snmptls-trap-tjenester er blevet implementeret at administrere adgang til SNMP-protokollen gennem en sikker kommunikationskanal.
Det fremhæves også, at implementeret en tjeneste, der understøtter den protokol, der bruges i IPFS-filsystemet decentraliseret.
En anden ændring, der skiller sig ud i denne nye version, er den tjenester med support blev tilføjet para gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Udover dette fremhæves det også tilføjet fejlsikker opstartstilstand, som tillader, i tilfælde af problemer med de angivne regler, at vende tilbage til standardkonfigurationen uden at efterlade værten ubeskyttet.
Af de andre ændringer der skiller sig ud fra denne nye version:
- Tilføjet "–log-target" parameter.
- Bash giver understøttelse af kommando autofuldførelse for at arbejde med regler.
- Tilføjet sikker version af k8s driver blueprint komponenter
Hvis du er interesseret i at vide mere om denne nye version, kan du se detaljerne i følgende link.
Hent Firewalld 1.2
Endelig for dem, der er interesseret i at kunne installere denne firewall, skal du vide, at projektet allerede er i brug på mange Linux-distributioner, inklusive RHEL 7+, Fedora 18+ og SUSE/openSUSE 15+. Firewall-koden er skrevet i Python og frigives under GPLv2-licensen.
Du kan få kildekoden til din build fra nedenstående link.
Hvad angår delen af en brugervejledning, Jeg kan anbefale følgende.