nedavno lansiranje nova verzija vatrozida za dinamičko upravljanje vatrozid 1.2, implementiran kao omotač na vrhu filtera paketa nftables i iptables.
Za one koji ne znaju za Firewalld, mogu vam to reći je upravljivi dinamički vatrozid, s podrškom za mrežne zone za definiranje razine povjerenja mreža ili sučelja koja koristite za povezivanje. Ima podršku za IPv4, IPv6 konfiguracije i ethernet mostove.
Također, vatrozid odvojeno održava radnu konfiguraciju i trajnu konfiguraciju. Stoga firewalld također nudi sučelje za aplikacije za dodavanje pravila vatrozidu na prikladan način.
Stari model vatrozida (system-config-firewall/lokkit) bio je statičan i svaka promjena zahtijevala je potpuno resetiranje vatrozida. To je značilo da morate ukloniti module vatrozida kernela (npr. netfilter) i ponovno ih učitati pri svakoj konfiguraciji. Osim toga, ovo ponovno pokretanje značilo je gubitak informacija o statusu uspostavljenih veza.
Nasuprot tome, firewalld ne zahtijeva ponovno pokretanje usluge za primjenu nove konfiguracije. Stoga nije potrebno ponovno učitavati module kernela. Jedina mana je što da bi sve ovo radilo ispravno, konfiguracija vatrozida se mora izvršiti preko firewallda i njegovih konfiguracijskih alata (firewall-cmd ili firewall-config). Firewalld je sposoban dodavati pravila koristeći istu sintaksu kao {ip,ip6,eb}tables naredbe (izravna pravila).
Usluga također pruža informacije o trenutnoj konfiguraciji vatrozida putem DBus-a, a na isti način mogu se dodati i nova pravila, koristeći PolicyKit za proces provjere autentičnosti.
Firewalld radi kao pozadinski proces koji omogućuje dinamičku promjenu pravila filtera paketa preko D-Busa bez ponovnog učitavanja pravila filtera paketa i bez prekidanja uspostavljenih veza.
Za upravljanje vatrozidom koristi se uslužni program firewall-cmd koji se prilikom kreiranja pravila ne temelji na IP adresama, mrežnim sučeljima i brojevima portova, već na nazivima servisa (npr. za otvaranje SSH pristupa potrebno je pokrenuti “firewall-cmd – add — service=ssh” , za zatvaranje SSH – “firewall-cmd –remove –service=ssh”).
Firewall-config (GTK) grafičko sučelje i firewall-applet (Qt) također se mogu koristiti za promjenu postavki vatrozida. Podrška za upravljanje vatrozidom putem D-BUS API vatrozida dostupna je iz projekata kao što su NetworkManager, libvirt, podman, docker i fail2ban.
Glavne nove značajke firewallda 1.2
U ovoj novoj verziji Implementirane su usluge snmptls i snmptls-trap za upravljanje pristupom SNMP protokolu putem sigurnog komunikacijskog kanala.
Također je istaknuto da implementirao je uslugu koja podržava protokol koji se koristi u IPFS datotečnom sustavu decentralizirana.
Još jedna od promjena koja se ističe u ovoj novoj verziji je ta dodane su usluge s podrškom za gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Uz to se ističe i da dodan način sigurnog pokretanja, koji omogućuje, u slučaju problema s navedenim pravilima, povratak na zadanu konfiguraciju bez da host ostane nezaštićen.
Od ostalih promjena koji se ističu u ovoj novoj verziji:
- Dodan parametar "–log-target".
- Bash pruža podršku za automatsko dovršavanje naredbi za rad s pravilima.
- Dodana sigurna verzija komponenti nacrta upravljačkog programa k8s
Ako vas zanima više o ovoj novoj verziji, pojedinosti možete pogledati u sljedeći link.
Nabavite Firewalld 1.2
Konačno za one koji jesu zainteresirani za mogućnost instaliranja ovog vatrozida, trebali biste znati da se projekt već koristi na mnogim distribucijama Linuxa, uključujući RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. Firewalld kod je napisan u Pythonu i objavljen je pod GPLv2 licencom.
Možete dobiti izvorni kod za svoju izgradnju s donje poveznice.
Što se tiče dijela korisničkog priručnika, Mogu preporučiti sljedeće.