Nedávno spustenie novú verziu brány firewall pre dynamickú správu firewalld 1.2implementovaný ako obal nad paketovými filtrami nftables a iptables.
Pre tých, ktorí nepoznajú Firewalld, vám to môžem povedať je spravovateľný dynamický firewall, s podporou sieťových zón na definovanie úrovne dôveryhodnosti sietí alebo rozhraní, ktoré používate na pripojenie. Má podporu pre konfigurácie IPv4, IPv6 a ethernetové mosty.
Tiež firewalld udržiava spustenú konfiguráciu a trvalú konfiguráciu oddelene. Firewalld teda poskytuje aj rozhranie pre aplikácie na pridávanie pravidiel do firewallu pohodlným spôsobom.
Starý model brány firewall (system-config-firewall/lokkit) bol statický a každá zmena si vyžadovala úplný reset brány firewall. Znamenalo to potrebu uvoľniť moduly firewallu jadra (napr. netfilter) a znova ich načítať pri každej konfigurácii. Tento reštart navyše znamenal stratu informácií o stave nadviazaných spojení.
Naopak, firewalld nevyžaduje reštart služby na použitie novej konfigurácie. Preto nie je potrebné znovu načítať moduly jadra. Jedinou nevýhodou je, že aby to všetko fungovalo správne, konfigurácia firewallu musí byť vykonaná cez firewalld a jeho konfiguračné nástroje (firewall-cmd alebo firewall-config). Firewalld je schopný pridávať pravidlá pomocou rovnakej syntaxe ako príkazy {ip,ip6,eb}tables (priame pravidlá).
Služby tiež poskytuje informácie o aktuálnej konfigurácii firewallu cez DBusa rovnakým spôsobom môžu byť pridané nové pravidlá pomocou PolicyKit pre proces autentifikácie.
Firewalld beží ako proces na pozadí, ktorý umožňuje dynamickú zmenu pravidiel paketového filtra cez D-Bus bez opätovného načítania pravidiel paketového filtra a bez odpojenia vytvorených spojení.
Na správu firewallu sa používa obslužný program firewall-cmd ktoré pri vytváraní pravidiel nie je založené na IP adresách, sieťových rozhraniach a číslach portov, ale na názvoch služieb (napríklad na otvorenie SSH prístupu je potrebné spustiť „firewall-cmd – add — service=ssh“ , na zatvorenie SSH – „firewall-cmd –remove –service=ssh“).
Na zmenu nastavení brány firewall možno použiť aj grafické rozhranie firewall-config (GTK) a aplet firewall-applet (Qt). Podpora pre správu firewallu cez D-BUS API firewalld je dostupná z projektov ako NetworkManager, libvirt, podman, docker a fail2ban.
Hlavné nové funkcie brány firewall 1.2
V tejto novej verzii Boli implementované služby snmptls a snmptls-trap na riadenie prístupu k protokolu SNMP prostredníctvom zabezpečeného komunikačného kanála.
Je tiež zdôraznené, že implementovala službu, ktorá podporuje protokol používaný v súborovom systéme IPFS decentralizované.
Ďalšou zo zmien, ktorá v tejto novej verzii vyniká, je táto boli pridané služby s podporou pre gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Okrem toho sa zdôrazňuje aj to pridaný režim spúšťania pri poruche, ktorý umožňuje v prípade problémov so zadanými pravidlami vrátiť sa k predvolenej konfigurácii bez toho, aby bol hostiteľ nechránený.
Z ďalších zmien ktoré vyčnievajú z tejto novej verzie:
- Pridaný parameter „–log-target“.
- Bash poskytuje podporu pre automatické dokončovanie príkazov pre prácu s pravidlami.
- Pridaná bezpečná verzia komponentov plánu ovládača k8s
Ak máte záujem dozvedieť sa viac o tejto novej verzii, podrobnosti si môžete prečítať v nasledujúci odkaz.
Získajte bránu firewall 1.2
Nakoniec pre tých, ktorí sú záujem o inštaláciu tejto brány firewall, mali by ste vedieť, že projekt sa už používa na mnohých distribúciách Linuxu, vrátane RHEL 7+, Fedora 18+ a SUSE/openSUSE 15+. Kód brány firewall je napísaný v jazyku Python a je vydaný pod licenciou GPLv2.
Môžete získať zdrojový kód pre vašu zostavu z odkazu nižšie.
Pokiaľ ide o časť používateľskej príručky, Môžem odporučiť nasledovné.