Ostatnio uruchomienie nowa wersja zapory dynamicznego zarządzania zapora 1.2, zaimplementowany jako wrapper nad filtrami pakietów nftables i iptables.
Tym, którzy nie wiedzą o Firewalld, mogę powiedzieć, że to zarządzalna dynamiczna zapora ogniowa, z obsługą stref sieciowych w celu określenia poziomu zaufania sieci lub interfejsów używanych do łączenia. Obsługuje konfiguracje IPv4, IPv6 i mosty Ethernet.
Również firewalld utrzymuje konfigurację bieżącą i konfigurację stałą oddzielnie. W ten sposób firewalld zapewnia również interfejs dla aplikacji umożliwiający dodawanie reguł do zapory w wygodny sposób.
Stary model zapory (system-config-firewall/lokkit) był statyczny i każda zmiana wymagała pełnego resetu zapory. Oznaczało to konieczność wyładowania modułów zapory jądra (np. netfilter) i ponownego załadowania ich przy każdej konfiguracji. Ponadto ponowne uruchomienie oznaczało utratę informacji o stanie nawiązanych połączeń.
Natomiast firewalld nie wymaga ponownego uruchomienia usługi w celu zastosowania nowej konfiguracji. Dlatego nie jest konieczne ponowne ładowanie modułów jądra. Jedyną wadą jest to, że aby wszystko działało poprawnie, konfiguracja firewalla musi być wykonana za pomocą firewalld i jego narzędzi konfiguracyjnych (firewall-cmd lub firewall-config). Firewalld może dodawać reguły używając tej samej składni, co polecenia {ip,ip6,eb}tables (reguły bezpośrednie).
Usługa dostarcza również informacji o aktualnej konfiguracji firewalla poprzez DBus, iw ten sam sposób można również dodać nowe reguły, używając PolicyKit do procesu uwierzytelniania.
Firewalld działa jako proces w tle, który umożliwia dynamiczną zmianę reguł filtrowania pakietów przez D-Bus bez przeładowywania reguł filtrowania pakietów i bez rozłączania ustanowionych połączeń.
Do zarządzania zaporą używane jest narzędzie firewall-cmd która podczas tworzenia reguł nie opiera się na adresach IP, interfejsach sieciowych i numerach portów, ale na nazwach usług (na przykład, aby otworzyć dostęp SSH, należy uruchomić „firewall-cmd – add – service=ssh” , aby zamknąć SSH – „firewall-cmd –remove –service=ssh”).
Graficzny interfejs firewall-config (GTK) i aplet firewalla (Qt) mogą być również używane do zmiany ustawień zapory. Wsparcie dla zarządzania firewallem za pośrednictwem firewalla D-BUS API jest dostępne w projektach takich jak NetworkManager, libvirt, podman, docker i fail2ban.
Główne nowe funkcje firewalld 1.2
W tej nowej wersji zostały wdrożone usługi snmptls i snmptls-trap do zarządzania dostępem do protokołu SNMP poprzez bezpieczny kanał komunikacyjny.
Podkreśla się również, że zaimplementowano usługę obsługującą protokół używany w systemie plików IPFS zdecentralizowany.
Kolejną zmianą, która wyróżnia się w tej nowej wersji, jest to dodano usługi z obsługą dla gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Oprócz tego podkreśla się również, że dodano tryb bezpiecznego rozruchu, co pozwala w przypadku problemów z określonymi regułami powrócić do domyślnej konfiguracji bez pozostawiania hosta bez ochrony.
Z innych zmian które wyróżniają się na tle nowej wersji:
- Dodano parametr „–log-target”.
- Bash zapewnia obsługę autouzupełniania poleceń w celu pracy z regułami.
- Dodano bezpieczną wersję komponentów schematu sterownika k8s
Jeśli chcesz dowiedzieć się więcej o tej nowej wersji, możesz zapoznać się ze szczegółami w następujący link.
Uzyskaj zaporę sieciową 1.2
Wreszcie dla tych, którzy są zainteresowany możliwością zainstalowania tej zapory, powinieneś wiedzieć, że projekt jest już używany w wielu dystrybucjach Linuksa, w tym RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. Kod firewalld jest napisany w Pythonie i jest udostępniany na licencji GPLv2.
Możesz pobrać kod źródłowy swojej kompilacji z linku poniżej.
Jeśli chodzi o część instrukcji obsługi, Mogę polecić następujące.