Baru-baru ini pelancaran versi baharu tembok api pengurusan dinamik firewall 1.2, dilaksanakan sebagai pembungkus di atas penapis paket nftables dan iptables.
Bagi mereka yang tidak mengetahui Firewalld, saya boleh memberitahu anda itu ialah tembok api dinamik yang boleh diurus, dengan sokongan untuk zon rangkaian untuk menentukan tahap kepercayaan rangkaian atau antara muka yang anda gunakan untuk menyambung. Ia mempunyai sokongan untuk IPv4, konfigurasi IPv6 dan jambatan ethernet.
Juga, firewalld mengekalkan konfigurasi berjalan dan konfigurasi kekal secara berasingan. Oleh itu, firewalld juga menyediakan antara muka untuk aplikasi menambah peraturan pada firewall dengan cara yang mudah.
Model firewall lama (system-config-firewall/lokkit) adalah statik dan setiap perubahan memerlukan tetapan semula firewall penuh. Ini bermakna perlu memunggah modul firewall kernel (cth. netfilter) dan memuatkan semula modul tersebut pada setiap konfigurasi. Di samping itu, mula semula ini bermakna kehilangan maklumat status sambungan yang telah ditetapkan.
Sebaliknya, firewalld tidak memerlukan permulaan semula perkhidmatan untuk menggunakan konfigurasi baharu. Oleh itu, ia tidak perlu memuat semula modul kernel. Satu-satunya kelemahan ialah untuk semua ini berfungsi dengan betul, konfigurasi firewall mesti dilakukan melalui firewalld dan alat konfigurasinya (firewall-cmd atau firewall-config). Firewalld mampu menambah peraturan menggunakan sintaks yang sama seperti arahan {ip,ip6,eb}tables (peraturan langsung).
Perkhidmatan juga menyediakan maklumat tentang konfigurasi tembok api semasa melalui DBus, dan dengan cara yang sama peraturan baharu juga boleh ditambah, menggunakan PolicyKit untuk proses pengesahan.
Firewalld berjalan sebagai proses latar belakang yang membolehkan peraturan penapis paket ditukar secara dinamik melalui D-Bus tanpa memuatkan semula peraturan penapis paket dan tanpa memutuskan sambungan yang telah ditetapkan.
Untuk menguruskan firewall, firewall-cmd utiliti digunakan yang, apabila membuat peraturan, tidak berdasarkan alamat IP, antara muka rangkaian, dan nombor port, tetapi pada nama perkhidmatan (contohnya, untuk membuka akses SSH, anda perlu menjalankan "firewall-cmd - add — service=ssh" , untuk menutup SSH – “firewall-cmd –remove –service=ssh”).
Antara muka grafik firewall-config (GTK) dan firewall-applet (Qt) applet juga boleh digunakan untuk menukar tetapan firewall. Sokongan untuk pengurusan tembok api melalui tembok api D-BUS API tersedia daripada projek seperti NetworkManager, libvirt, podman, docker dan fail2ban.
Ciri baharu utama firewalld 1.2
Dalam versi baru ini perkhidmatan snmptls dan snmptls-trap telah dilaksanakan untuk menguruskan akses kepada protokol SNMP melalui saluran komunikasi yang selamat.
Ia juga diketengahkan bahawa melaksanakan perkhidmatan yang menyokong protokol yang digunakan dalam sistem fail IPFS terdesentralisasi.
Perubahan lain yang menonjol dalam versi baru ini ialah perkhidmatan dengan sokongan telah ditambah perenggan gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus nod-exporter, kubelet-readonly.
Di samping itu, ia juga diserlahkan menambahkan mod but failsafe, yang membenarkan, sekiranya berlaku masalah dengan peraturan yang ditentukan, untuk kembali ke konfigurasi lalai tanpa meninggalkan hos tanpa perlindungan.
Daripada perubahan yang lain yang menonjol dari versi baru ini:
- Menambahkan parameter "–log-target".
- Bash menyediakan sokongan untuk autolengkap perintah untuk berfungsi dengan peraturan.
- Menambahkan versi selamat komponen pelan tindakan pemandu k8s
Jika anda berminat untuk mengetahui lebih lanjut tentang versi baharu ini, anda boleh rujuk butiran dalam pautan berikut.
Dapatkan Firewalld 1.2
Akhir sekali bagi mereka yang berada berminat untuk dapat memasang Firewall ini, anda harus tahu bahawa projek itu sudah digunakan pada banyak pengedaran Linux, termasuk RHEL 7+, Fedora 18+ dan SUSE/openSUSE 15+. Kod firewalld ditulis dalam Python dan dikeluarkan di bawah lesen GPLv2.
Anda boleh mendapatkan kod sumber untuk binaan anda dari pautan di bawah.
Bagi bahagian manual pengguna, Saya boleh mengesyorkan perkara berikut.