Hace poco se dio a conocer el lanzamiento de la nueva versión del cortafuegos de gestión dinámica firewalld 1.2, implementado en forma de contenedor sobre los filtros de paquetes nftables e iptables.
Para quienes desconocen de Firewalld, les puedo decir que es un cortafuegos dinámico administrable, con soporte para zonas de redes para definir el nivel de confianza de las redes o interfaces que utilice para conectarse. Tiene soporte para configuraciones IPv4, IPv6 y puentes de ethernet.
Además, firewalld mantiene de forma separada una configuración en ejecución y otra permanente. Así pues, firewalld también ofrece una interfaz para que las aplicaciones puedan añadir reglas al cortafuegos de una forma cómoda.
El modelo de cortafuegos anterior (system-config-firewall/lokkit) era estático y cada cambio requería un reinicio completo del cortafuego. Esto suponía tener que descargar los módulos del cortafuegos del núcleo (ej: netfilter) y recargarlos de nuevo en cada configuración. Además, este reinicio suponía perder la información de estado de las conexiones establecidas.
Por el contrario, firewalld no requiere reiniciar el servicio para aplicar una nueva configuración. Por lo tanto, no es necesario recargar los módulos del núcleo. El único inconveniente es que para que todo esto funcione correctamente, la configuración del cortafuegos debe realizarse a traves de firewalld y sus herramientas de configuración (firewall-cmd o firewall-config). Firewalld es capaz de añadir reglas utilizando la misma sintaxis que los comandos {ip,ip6,eb}tables (reglas directas).
El servicio tambien ofrece información acerca de la configuración actual del cortafuegos por medio de DBus, y de igual forma también pueden añadirse nuevas reglas, utilizando PolicyKit para el proceso de autenticación.
Firewalld se ejecuta como un proceso en segundo plano que permite que las reglas de filtrado de paquetes se cambien dinámicamente a través de D-Bus sin tener que volver a cargar las reglas de filtrado de paquetes y sin desconectar las conexiones establecidas.
Para administrar el firewall, se utiliza la utilidad firewall-cmd que, al crear reglas, no se basa en las direcciones IP, las interfaces de red y los números de puerto, sino en los nombres de los servicios (por ejemplo, para abrir el acceso a SSH, necesita para ejecutar «firewall-cmd –add — service=ssh», para cerrar SSH – «firewall-cmd –remove –service=ssh»).
La interfaz gráfica firewall-config (GTK) y el subprograma firewall-applet (Qt) también se pueden usar para cambiar la configuración del firewall. La compatibilidad con la gestión de cortafuegos a través de D-BUS API firewalld está disponible en proyectos como NetworkManager, libvirt, podman, docker y fail2ban.
Principales novedades de firewalld 1.2
En esta nueva versión se han implementado los servicios snmptls y snmptls-trap para gestionar el acceso al protocolo SNMP a través de un canal de comunicación seguro.
Tambien se destaca que se implementó un servicio que admite el protocolo utilizado en el sistema de archivos IPFS descentralizado.
Otro de los cambios que se destaca de esta nueva versión, es que se agregaron servicios con soporte para gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Ademas de ello, tambien se destaca que se agregó el modo de inicio a prueba de fallas, que permite, en caso de problemas con las reglas especificadas, volver a la configuración predeterminada sin dejar el host desprotegido.
De los demás cambios que se destacan de esta nueva versión:
- Se agregó el parámetro «–log-target».
- Bash brinda soporte para el autocompletado de comandos para trabajar con reglas.
- Se añadió una versión segura de los componentes del plano del controlador k8s
Si estás interesado en poder conocer más al respecto sobre esta nueva versión, puedes consultar los detalles en el siguiente enlace.
Obtener Firewalld 1.2
Finalmente para quienes estén interesados en poder instalar este Firewall, deben saber que el proyecto ya está en uso en muchas distribuciones de Linux, incluidas RHEL 7+, Fedora 18+ y SUSE/openSUSE 15+. El código de firewalld está escrito en Python y se distribuye bajo la licencia GPLv2.
Pueden obtener el código fuente para su compilación desde el siguiente enlace.
En cuanto a la parte de un manual de uso, te puedo recomendar el siguiente.