Недавно запуск новая версия брандмауэра динамического управления брандмауэр 1.2, реализованный как оболочка поверх фильтров пакетов nftables и iptables.
Для тех, кто не знает о Firewalld, могу сказать, что представляет собой управляемый динамический брандмауэр, с поддержкой сетевых зон для определения уровня доверия к сетям или интерфейсам, которые вы используете для подключения. Он поддерживает конфигурации IPv4, IPv6 и мосты Ethernet.
Кроме того, брандмауэр поддерживает текущую конфигурацию и постоянную конфигурацию отдельно. Таким образом, firewalld также предоставляет приложениям удобный интерфейс для добавления правил в брандмауэр.
Старая модель брандмауэра (system-config-firewall/lokkit) была статичной, и каждое изменение требовало полной перезагрузки брандмауэра. Это означало необходимость выгружать модули брандмауэра ядра (например, сетевой фильтр) и перезагружать их снова при каждой конфигурации. Кроме того, этот перезапуск означал потерю информации о состоянии установленных соединений.
В отличие от этого, firewalld не требует перезапуска службы для применения новой конфигурации. Поэтому нет необходимости перезагружать модули ядра. Единственным недостатком является то, что для корректной работы всего этого, настройка брандмауэра должна производиться через firewalld и его инструменты настройки (firewall-cmd или firewall-config). Firewalld может добавлять правила, используя тот же синтаксис, что и команды {ip,ip6,eb}tables (прямые правила).
Обслуживание также предоставляет информацию о текущей конфигурации брандмауэра через DBus, и таким же образом можно добавить новые правила, используя PolicyKit для процесса аутентификации.
Firewalld работает как фоновый процесс, который позволяет динамически изменять правила фильтрации пакетов через D-Bus без перезагрузки правил фильтрации пакетов и без разрыва установленных соединений.
Для управления брандмауэром используется утилита firewall-cmd который при создании правил опирается не на IP-адреса, сетевые интерфейсы и номера портов, а на имена сервисов (например, чтобы открыть доступ по SSH, нужно запустить «firewall-cmd — add — service=ssh» , чтобы закрыть SSH — «firewall-cmd —remove —service=ssh»).
Графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt) также можно использовать для изменения настроек брандмауэра. Поддержка управления брандмауэром через D-BUS API firewalld доступна в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.
Основные новые возможности firewalld 1.2
В этой новой версии реализованы сервисы snmptls и snmptls-trap для управления доступом к протоколу SNMP по защищенному каналу связи.
Также подчеркивается, что реализован сервис, поддерживающий протокол, используемый в файловой системе IPFS децентрализованный.
Еще одно изменение, которое выделяется в этой новой версии, заключается в том, что добавлены сервисы с поддержкой для gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-только для чтения.
В дополнение к этому также подчеркивается, что добавлен отказоустойчивый режим загрузки, что позволяет в случае проблем с указанными правилами вернуться к конфигурации по умолчанию, не оставляя хост незащищенным.
Из других изменений которые выделяются из этой новой версии:
- Добавлен параметр «–log-target».
- Bash поддерживает автодополнение команд для работы с правилами.
- Добавлена безопасная версия компонентов схемы драйвера k8s.
Если вам интересно узнать больше об этой новой версии, вы можете ознакомиться с подробностями в по следующей ссылке.
Получить брандмауэр 1.2
Наконец, для тех, кто заинтересован в возможности установить этот брандмауэр, вы должны знать, что проект уже используется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на Python и выпущен под лицензией GPLv2.
Вы можете получить исходный код для вашей сборки по ссылке ниже.
Что касается части руководства пользователя, Могу порекомендовать следующее.