最近 の発売 動的管理ファイアウォールの新しいバージョン Firewalld 1.2、nftablesおよびiptablesパケットフィルターの上にラッパーとして実装されます。
Firewalldに気付いていない人のために、私はあなたにそれを言うことができます 管理可能な動的ファイアウォールであり、 接続に使用するネットワークまたはインターフェースの信頼レベルを定義するためのネットワークゾーンのサポート付き。 IPv4、IPv6構成、イーサネットブリッジをサポートしています。
また、firewalld 実行中の構成と永続的な構成を別々に維持します。 したがって、firewalldは、アプリケーションが便利な方法でファイアウォールにルールを追加するためのインターフェースも提供します。
古いファイアウォールモデル(system-config-firewall / lokkit)は静的であり、変更するたびにファイアウォールを完全にリセットする必要がありました。 これは、カーネルファイアウォールモジュール(netfilterなど)をアンロードし、すべての構成でそれらを再ロードする必要があることを意味しました。 さらに、この再起動は、確立された接続のステータス情報を失うことを意味しました。
これとは対照的に、 Firewalldは、新しい設定を適用するためにサービスを再起動する必要はありません。 したがって、カーネルモジュールをリロードする必要はありません。 唯一の欠点は、これらすべてが正しく機能するために、ファイアウォールの構成がfirewalldとその構成ツール(firewall-cmdまたはfirewall-config)を介して行われる必要があることです。 Firewalldは、{ip、ip6、eb}テーブルコマンド(直接ルール)と同じ構文を使用してルールを追加できます。
サービス DBusを介して現在のファイアウォール構成に関する情報も提供します、および同様に、認証プロセスにPolicyKitを使用して、新しいルールを追加することもできます。
Firewalldはバックグラウンドプロセスとして実行され、パケットフィルタールールを再ロードしたり、確立された接続を切断したりすることなく、D-Busを介してパケットフィルタールールを動的に変更できます。
ファイアウォールを管理するには、ユーティリティfirewall-cmdを使用します これは、ルールを作成するときに、IPアドレス、ネットワークインターフェイス、およびポート番号ではなく、サービスの名前に基づいています(たとえば、SSHアクセスを開くには、「firewall-cmd – add —service=ssh」を実行する必要があります。 、SSHを閉じるには–「firewall-cmd–remove –service = ssh」)。
Firewall-config(GTK)グラフィカルインターフェイスとfirewall-applet(Qt)アプレットを使用して、ファイアウォール設定を変更することもできます。 D-BUS APIを介したファイアウォール管理のサポートfirewalldは、NetworkManager、libvirt、podman、docker、fail2banなどのプロジェクトから利用できます。
Firewalld1.2の主な新機能
この新しいバージョンでは snmptlsおよびsnmptls-trapサービスが実装されました 安全な通信チャネルを介したSNMPプロトコルへのアクセスを管理します。
また、 IPFSファイルシステムで使用されるプロトコルをサポートするサービスを実装しました 地方分権。
この新しいバージョンで際立っているもうXNUMXつの変更点は、 サポート付きのサービスが追加されました パラ gpsd、ident、ps3netsrv、CrateDB、checkmk、netdata、Kodi JSON-RPC、EventServer、Prometheus node-exporter、kubelet-readonly。
これに加えて、次のことも強調されています フェイルセーフブートモードを追加、これにより、指定されたルールに問題が発生した場合に、ホストを保護せずにデフォルトの構成に戻すことができます。
その他の変更点 この新しいバージョンから際立っている:
- 「–log-target」パラメータを追加しました。
- Bashは、ルールを操作するためのコマンドオートコンプリートのサポートを提供します。
- k8sドライバーブループリントコンポーネントの安全なバージョンを追加しました
この新しいバージョンについて詳しく知りたい場合は、の詳細を参照してください。 次のリンク。
Firewalld1.2を入手する
最後に このファイアウォールをインストールできることに興味があります、プロジェクトはRHEL 7以降、Fedora 18以降、SUSE /openSUSE15以降を含む多くのLinuxディストリビューションですでに使用されていることを知っておく必要があります。 FirewalldコードはPythonで記述されており、GPLv2ライセンスの下でリリースされています。
ビルドのソースコードを入手できます 下のリンクから。
ユーザーマニュアルの一部については、 以下をお勧めします。