Pred kratkim začetek nova različica požarnega zidu za dinamično upravljanje požarni zid 1.2, implementiran kot ovoj na vrhu filtrov paketov nftables in iptables.
Za tiste, ki ne poznajo Firewallda, vam lahko to povem je obvladljiv dinamični požarni zid, s podporo za omrežna območja za določitev stopnje zaupanja omrežij ali vmesnikov, ki jih uporabljate za povezovanje. Ima podporo za konfiguracije IPv4, IPv6 in ethernetne mostove.
Tudi požarni zid ločeno vzdržuje tekočo konfiguracijo in stalno konfiguracijo. Tako požarni zid ponuja tudi vmesnik za aplikacije za dodajanje pravil požarnemu zidu na priročen način.
Stari model požarnega zidu (system-config-firewall/lokkit) je bil statičen in vsaka sprememba je zahtevala popolno ponastavitev požarnega zidu. To je pomenilo, da je bilo treba odstraniti module požarnega zidu jedra (npr. netfilter) in jih znova naložiti ob vsaki konfiguraciji. Poleg tega je ta ponovni zagon pomenil izgubo informacij o statusu vzpostavljenih povezav.
Nasprotno, firewalld ne zahteva ponovnega zagona storitve za uporabo nove konfiguracije. Zato modulov jedra ni treba znova naložiti. Edina pomanjkljivost je, da je treba za pravilno delovanje konfiguracije požarnega zidu izvesti prek požarnega zidu in njegovih konfiguracijskih orodij (firewall-cmd ali firewall-config). Firewalld lahko dodaja pravila z isto sintakso kot ukazi {ip,ip6,eb}tabel (neposredna pravila).
Storitev ponuja tudi informacije o trenutni konfiguraciji požarnega zidu prek DBus, na enak način pa je mogoče dodati tudi nova pravila z uporabo PolicyKit za postopek preverjanja pristnosti.
Firewalld deluje kot proces v ozadju, ki omogoča dinamično spreminjanje pravil paketnega filtra prek D-Bus brez ponovnega nalaganja pravil paketnega filtra in brez prekinitve vzpostavljenih povezav.
Za upravljanje požarnega zidu se uporablja pripomoček firewall-cmd ki pri ustvarjanju pravil ne temelji na naslovih IP, omrežnih vmesnikih in številkah vrat, temveč na imenih storitev (na primer, da odprete dostop SSH, morate zagnati “firewall-cmd – add — service=ssh”). , da zaprete SSH – “firewall-cmd –remove –service=ssh”).
Za spreminjanje nastavitev požarnega zidu lahko uporabite tudi grafični vmesnik firewall-config (GTK) in programček požarnega zidu (Qt). Podpora za upravljanje požarnega zidu prek požarnega zidu D-BUS API je na voljo v projektih, kot so NetworkManager, libvirt, podman, docker in fail2ban.
Glavne nove funkcije požarnega zidu 1.2
V tej novi različici implementirani sta bili storitvi snmptls in snmptls-trap za upravljanje dostopa do protokola SNMP prek varnega komunikacijskega kanala.
Poudarjeno je tudi, da uvedel storitev, ki podpira protokol, ki se uporablja v datotečnem sistemu IPFS decentralizirano.
Druga sprememba, ki izstopa v tej novi različici, je ta dodane so bile storitve s podporo za gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
Poleg tega je poudarjeno tudi, da dodan način varnega zagona, ki omogoča, da se v primeru težav z določenimi pravili vrnete na privzeto konfiguracijo, ne da bi pustili gostitelja nezaščitenega.
Od ostalih sprememb ki izstopajo iz te nove različice:
- Dodan parameter »–log-target«.
- Bash nudi podporo za samodokončanje ukazov za delo s pravili.
- Dodana varna različica komponent načrta gonilnika k8s
Če vas zanima več o tej novi različici, si oglejte podrobnosti v naslednja povezava.
Pridobite Firewalld 1.2
Končno za tiste, ki so zanima namestitev tega požarnega zidu, morate vedeti, da je projekt že v uporabi v številnih distribucijah Linuxa, vključno z RHEL 7+, Fedora 18+ in SUSE/openSUSE 15+. Koda požarnega zidu je napisana v Pythonu in je izdana pod licenco GPLv2.
Lahko dobite izvorno kodo za svojo zgradbo s spodnje povezave.
Kar zadeva del uporabniškega priročnika, Lahko priporočam naslednje.