Récemment le lancement de la nouvelle version du firewall à gestion dynamique pare-feu 1.2, implémenté en tant que wrapper au-dessus des filtres de paquets nftables et iptables.
Pour ceux qui ne connaissent pas Firewalld, je peux vous dire que est un pare-feu dynamique gérable, avec prise en charge des zones réseau pour définir le niveau de confiance des réseaux ou des interfaces que vous utilisez pour vous connecter. Il prend en charge les configurations IPv4, IPv6 et les ponts Ethernet.
Aussi, pare-feu maintient séparément une configuration en cours d'exécution et une configuration permanente. Ainsi, firewalld fournit également une interface permettant aux applications d'ajouter des règles au pare-feu de manière pratique.
L'ancien modèle de pare-feu (system-config-firewall/lokkit) était statique et chaque modification nécessitait une réinitialisation complète du pare-feu. Cela impliquait de devoir décharger les modules de pare-feu du noyau (par exemple netfilter) et de les recharger à chaque configuration. De plus, ce redémarrage signifiait la perte des informations d'état des connexions établies.
En revanche, firewalld ne nécessite pas de redémarrage du service pour appliquer une nouvelle configuration. Par conséquent, il n'est pas nécessaire de recharger les modules du noyau. Seul bémol, pour que tout cela fonctionne correctement, la configuration du firewall doit se faire via firewalld et ses outils de configuration (firewall-cmd ou firewall-config). Firewalld est capable d'ajouter des règles en utilisant la même syntaxe que les commandes {ip,ip6,eb}tables (règles directes).
Le service fournit également des informations sur la configuration actuelle du pare-feu via DBus, et de la même manière, de nouvelles règles peuvent également être ajoutées, en utilisant PolicyKit pour le processus d'authentification.
Firewalld s'exécute en tant que processus d'arrière-plan qui permet de modifier dynamiquement les règles de filtrage de paquets sur D-Bus sans recharger les règles de filtrage de paquets et sans déconnecter les connexions établies.
Pour gérer le pare-feu, l'utilitaire firewall-cmd est utilisé qui, lors de la création de règles, n'est pas basé sur les adresses IP, les interfaces réseau et les numéros de port, mais sur les noms des services (par exemple, pour ouvrir l'accès SSH, vous devez exécuter "firewall-cmd - add - service=ssh" , pour fermer SSH – « firewall-cmd –remove –service=ssh »).
L'interface graphique firewall-config (GTK) et l'applet firewall-applet (Qt) peuvent également être utilisées pour modifier les paramètres du pare-feu. La prise en charge de la gestion du pare-feu via l'API D-BUS firewalld est disponible à partir de projets tels que NetworkManager, libvirt, podman, docker et fail2ban.
Principales nouveautés de firewalld 1.2
Dans cette nouvelle version les services snmptls et snmptls-trap ont été implémentés pour gérer l'accès au protocole SNMP via un canal de communication sécurisé.
Il est également souligné que implémenté un service qui prend en charge le protocole utilisé dans le système de fichiers IPFS décentralisé.
Un autre changement qui se démarque dans cette nouvelle version est que des services avec support ont été ajoutés pour gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, exportateur de nœuds Prometheus, kubelet-readonly.
En plus de cela, il est également souligné que mode de démarrage à sécurité intégrée ajouté, qui permet, en cas de problème avec les règles spécifiées, de revenir à la configuration par défaut sans laisser l'hôte sans protection.
Des autres changements qui se démarquent de cette nouvelle version:
- Ajout du paramètre « –log-target ».
- Bash prend en charge la saisie semi-automatique des commandes pour fonctionner avec des règles.
- Ajout de la version sécurisée des composants du plan du pilote k8s
Si vous souhaitez en savoir plus sur cette nouvelle version, vous pouvez consulter les détails dans le lien suivant
Obtenir le pare-feu 1.2
Enfin pour ceux qui sont intéressé à pouvoir installer ce pare-feu, vous devez savoir que le projet est déjà utilisé sur de nombreuses distributions Linux, notamment RHEL 7+, Fedora 18+ et SUSE/openSUSE 15+. Le code firewalld est écrit en Python et est publié sous la licence GPLv2.
Vous pouvez obtenir le code source de votre build à partir du lien ci-dessous.
Quant à la partie d'un manuel d'utilisation, Je peux recommander ce qui suit.