לאחרונה ההשקה של הגרסה החדשה של חומת האש לניהול דינמי חומת אש 1.2, מיושם כעטיפה על גבי מסנני מנות nftables ו-iptables.
למי שלא מודע ל-Firewalld, אני יכול להגיד לך את זה הוא חומת אש דינמית לניהול, עם תמיכה באזורי רשת כדי להגדיר את רמת האמון של הרשתות או הממשקים שבהם אתה משתמש כדי להתחבר. יש לו תמיכה בתצורות IPv4, IPv6 וגשרי Ethernet.
כמו כן, חומת אש שומר על תצורה פועלת ותצורה קבועה בנפרד. לפיכך, Firewalld מספקת גם ממשק לאפליקציות להוספת כללים לחומת האש בצורה נוחה.
מודל חומת האש הישן (system-config-firewall/lokkit) היה סטטי וכל שינוי דרש איפוס מלא של חומת האש. פירוש הדבר היה צורך לפרוק את מודולי חומת האש של ליבה (למשל netfilter) ולטעון אותם מחדש בכל תצורה. בנוסף, פירושה הפעלה מחדש זו אובדן מידע הסטטוס של החיבורים שנוצרו.
לעומת זאת, חומת האש אינה דורשת הפעלה מחדש של השירות כדי להחיל תצורה חדשה. לכן, אין צורך לטעון מחדש את מודולי הקרנל. החיסרון היחיד הוא שכדי שכל זה יעבוד כמו שצריך, תצורת חומת האש חייבת להיעשות דרך חומת האש וכלי התצורה שלה (חומת אש-cmd או חומת-תצורת אש). Firewalld מסוגל להוסיף כללים באמצעות אותו תחביר כמו פקודות הטבלאות {ip,ip6,eb} (כללים ישירים).
השירות מספק גם מידע על תצורת חומת האש הנוכחית באמצעות DBus, ובאותו אופן ניתן להוסיף גם כללים חדשים, באמצעות PolicyKit לתהליך האימות.
Firewalld פועל כתהליך רקע המאפשר לשנות באופן דינמי כללי מסנן מנות דרך D-Bus מבלי לטעון מחדש כללי מסנן מנות וללא ניתוק חיבורים שהוקמו.
כדי לנהל את חומת האש, נעשה שימוש בחומת האש-cmd של השירות אשר, בעת יצירת כללים, אינו מבוסס על כתובות IP, ממשקי רשת ומספרי יציאות, אלא על שמות שירותים (לדוגמה, כדי לפתוח גישת SSH, עליך להריץ "חומת אש-cmd – הוספה - service=ssh" , כדי לסגור את SSH - "firewall-cmd -remove -service=ssh").
ניתן להשתמש בממשק הגרפי של חומת האש (GTK) וביישומון חומת האש (Qt) לשינוי הגדרות חומת האש. תמיכה בניהול חומת אש באמצעות חומת האש של D-BUS API זמינה מפרויקטים כגון NetworkManager, libvirt, podman, docker ו-fail2ban.
תכונות חדשות עיקריות של חומת אש 1.2
בגרסה החדשה הזו שירותי snmptls ו-snmptls-trap יושמו לניהול גישה לפרוטוקול SNMP דרך ערוץ תקשורת מאובטח.
זה גם מודגש הטמיע שירות התומך בפרוטוקול המשמש במערכת הקבצים IPFS desentralizado.
עוד אחד מהשינויים הבולטים בגרסה החדשה הזו הוא נוספו שירותים עם תמיכה סעיף gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
בנוסף לכך, מודגש גם כי נוסף מצב אתחול מאובטח, המאפשר, במקרה של בעיות עם הכללים שצוינו, לחזור לתצורת ברירת המחדל מבלי להשאיר את המארח לא מוגן.
משאר השינויים הבולטים מהגרסה החדשה הזו:
- נוסף פרמטר "–log-target".
- Bash מספקת תמיכה בהשלמה אוטומטית של פקודות לעבודה עם כללים.
- נוספה גרסה בטוחה של רכיבי שרטוט מנהל התקן k8s
אם אתה מעוניין לדעת יותר על גרסה חדשה זו, תוכל לעיין בפרטים ב- הקישור הבא.
קבל את Firewalld 1.2
סוף סוף למי שכן מעוניין להיות מסוגל להתקין חומת אש זו, עליך לדעת שהפרויקט כבר נמצא בשימוש בהפצות לינוקס רבות, כולל RHEL 7+, Fedora 18+ ו-SUSE/openSUSE 15+. קוד חומת האש כתוב ב-Python ומשוחרר תחת רישיון GPLv2.
אתה יכול לקבל את קוד המקור עבור המבנה שלך מהקישור למטה.
לגבי החלק של מדריך למשתמש, אני יכול להמליץ על הדברים הבאים.