nemrég elindítása a dinamikus felügyeleti tűzfal új verziója tűzfal 1.2, az nftables és az iptables csomagszűrők tetején burkolóként implementálva.
Azoknak, akik nem ismerik a Firewalldot, elmondhatom egy kezelhető dinamikus tűzfal, hálózati zónák támogatásával a csatlakozáshoz használt hálózatok vagy interfészek megbízhatósági szintjének meghatározásához. Támogatja az IPv4, IPv6 konfigurációkat és Ethernet-hidakat.
Továbbá tűzfal külön-külön fenntart egy futó és egy állandó konfigurációt. Így a tűzfal egy felületet is biztosít az alkalmazások számára, amelyekkel kényelmes módon szabályokat adhatnak hozzá a tűzfalhoz.
A régi tűzfalmodell (system-config-firewall/lokkit) statikus volt, és minden változtatáshoz a tűzfal teljes alaphelyzetbe állítása szükséges. Ez azt jelentette, hogy minden konfigurációnál ki kellett tölteni a kernel tűzfal moduljait (pl. netfilter), majd újra be kell tölteni őket. Ezenkívül ez az újraindítás a létrehozott kapcsolatok állapotinformációinak elvesztését jelentette.
Ezzel szemben, A tűzfal nem igényli a szolgáltatás újraindítását az új konfiguráció alkalmazásához. Ezért nem szükséges újratölteni a kernelmodulokat. Az egyetlen hátránya, hogy mindez megfelelő működéshez a tűzfal beállítását a tűzfalon és annak konfigurációs eszközein (firewall-cmd vagy firewall-config) keresztül kell elvégezni. A Firewall ugyanazt a szintaxist használja, mint az {ip,ip6,eb}tables parancsok (közvetlen szabályok).
A szolgáltatás a tűzfal aktuális konfigurációjáról is szolgál a DBus-on keresztül, és ugyanígy új szabályok is hozzáadhatók a PolicyKit segítségével a hitelesítési folyamathoz.
A Firewalld háttérfolyamatként fut, amely lehetővé teszi a csomagszűrő szabályok dinamikus megváltoztatását D-Bus-on keresztül a csomagszűrő szabályok újratöltése és a létrehozott kapcsolatok megszakítása nélkül.
A tűzfal kezeléséhez a firewall-cmd segédprogramot használják amely a szabályok létrehozásakor nem IP-címeken, hálózati interfészek és portszámokon alapul, hanem a szolgáltatások nevein (például az SSH-hozzáférés megnyitásához a „firewall-cmd – add — service=ssh” parancsot kell futtatni) , az SSH bezárásához – „tűzfal-cmd –remove –service=ssh”).
A firewall-config (GTK) grafikus felület és a firewall-applet (Qt) kisalkalmazás is használható a tűzfal beállításainak módosítására. A D-BUS API tűzfalon keresztüli tűzfalkezelés támogatása elérhető olyan projektekben, mint a NetworkManager, a libvirt, a podman, a docker és a fail2ban.
A tűzfal főbb újdonságai 1.2
Ebben az új verzióban Az snmptls és az snmptls-trap szolgáltatások bevezetésre kerültek az SNMP protokollhoz való hozzáférés kezeléséhez biztonságos kommunikációs csatornán keresztül.
Azt is kiemelik olyan szolgáltatást valósított meg, amely támogatja az IPFS fájlrendszerben használt protokollt decentralizált.
Egy másik változás, amely kiemelkedik ebben az új verzióban, az az támogatással kiegészített szolgáltatások mert gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus csomópont-exportőr, kubelet csak olvasható.
Ezen kívül kiemelik azt is hozzáadva a hibabiztos rendszerindítási módot, amely lehetővé teszi a megadott szabályokkal kapcsolatos problémák esetén az alapértelmezett konfigurációhoz való visszatérést anélkül, hogy a gazdagépet védelem nélkül hagyná.
A többi változás közül amelyek kiemelkednek ebből az új verzióból:
- „–log-target” paraméter hozzáadva.
- A Bash támogatja a parancsok automatikus kiegészítését a szabályokkal való együttműködéshez.
- Hozzáadtuk a k8s illesztőprogram-tervezet összetevőinek biztonságos verzióját
Ha többet szeretne megtudni erről az új verzióról, tekintse meg a részleteket a következő link.
Töltse le a tűzfalat 1.2
Végre azoknak, akik igen érdeklődik a tűzfal telepítése iránt, tudnia kell, hogy a projektet már számos Linux disztribúció használja, beleértve az RHEL 7+, a Fedora 18+ és a SUSE/openSUSE 15+. A tűzfalkód Python nyelven íródott, és a GPLv2 licenc alatt kerül kiadásra.
Beszerezheti a build forráskódját az alábbi linkről.
Ami a használati útmutató részét illeti, A következőket tudom ajánlani.