Останнім часом запуск нова версія брандмауера динамічного керування брандмауер 1.2, реалізований як оболонка поверх фільтрів пакетів nftables та iptables.
Для тих, хто не знає про Firewalld, я можу вам це сказати це керований динамічний брандмауер, з підтримкою мережевих зон для визначення рівня довіри мереж або інтерфейсів, які ви використовуєте для підключення. Він підтримує конфігурації IPv4, IPv6 і мости Ethernet.
Крім того, брандмауер підтримує поточну конфігурацію та постійну конфігурацію окремо. Таким чином, firewalld також надає інтерфейс для програм, щоб зручно додавати правила до брандмауера.
Стара модель брандмауера (system-config-firewall/lokkit) була статичною, і кожна зміна вимагала повного скидання брандмауера. Це означало необхідність вивантажувати модулі брандмауера ядра (наприклад, netfilter) і перезавантажувати їх знову при кожній конфігурації. Крім того, цей перезапуск означав втрату інформації про стан встановлених з’єднань.
Навпаки, firewalld не вимагає перезапуску служби для застосування нової конфігурації. Тому немає необхідності перезавантажувати модулі ядра. Єдиним недоліком є те, що для того, щоб усе це працювало належним чином, конфігурація брандмауера повинна виконуватись за допомогою firewalld та його інструментів налаштування (firewall-cmd або firewall-config). Firewalld може додавати правила, використовуючи той самий синтаксис, що й команди {ip,ip6,eb}tables (прямі правила).
Послуга також надає інформацію про поточну конфігурацію брандмауера через DBus, і таким же чином можна додавати нові правила, використовуючи PolicyKit для процесу автентифікації.
Firewalld працює як фоновий процес, який дозволяє динамічно змінювати правила фільтрації пакетів через D-Bus без перезавантаження правил фільтрації пакетів і без розриву встановлених з’єднань.
Для управління брандмауером використовується утиліта firewall-cmd який при створенні правил базується не на IP-адресах, мережевих інтерфейсах і номерах портів, а на назвах служб (наприклад, щоб відкрити SSH-доступ, потрібно запустити «firewall-cmd – add — service=ssh» , щоб закрити SSH – «firewall-cmd –remove –service=ssh»).
Графічний інтерфейс firewall-config (GTK) і аплет firewall-applet (Qt) також можна використовувати для зміни налаштувань брандмауера. Підтримка керування брандмауером через D-BUS API firewalld доступна в таких проектах, як NetworkManager, libvirt, podman, docker і fail2ban.
Основні нові можливості firewalld 1.2
У цій новій версії реалізовані служби snmptls і snmptls-trap керувати доступом до протоколу SNMP через захищений канал зв’язку.
Також підкреслюється, що реалізовано сервіс, що підтримує протокол, що використовується у файловій системі IPFS децентралізована.
Ще одна зміна, яка виділяється в цій новій версії, полягає в тому додано сервіси з підтримкою пункт gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly.
На додаток до цього також наголошується, що додано безвідмовний режим завантаження, що дозволяє, у разі проблем із зазначеними правилами, повернутися до конфігурації за замовчуванням, не залишаючи хост незахищеним.
З інших змін що виділяються з цієї нової версії:
- Додано параметр «–log-target».
- Bash забезпечує підтримку автозавершення команд для роботи з правилами.
- Додано безпечну версію компонентів схеми драйвера k8s
Якщо вам цікаво дізнатися більше про цю нову версію, ви можете переглянути подробиці в наступне посилання.
Отримати Firewalld 1.2
Нарешті для тих, хто є зацікавлені в можливості встановити цей брандмауер, вам слід знати, що проект уже використовується в багатьох дистрибутивах Linux, включаючи RHEL 7+, Fedora 18+ і SUSE/openSUSE 15+. Код брандмауера написаний на Python і випущений за ліцензією GPLv2.
Ви можете отримати вихідний код для своєї збірки за посиланням нижче.
Що стосується частини посібника користувача, Можу порекомендувати наступне.