ProHoster > Blog > internet nuus > firewalld 1.0 vrystelling

firewalld 1.0 vrystelling

'n Vrystelling van die dinamies beheerde firewall firewalld 1.0 word aangebied, geïmplementeer in die vorm van 'n omhulsel oor die nftables en iptables pakkie filters. Firewalld loop as 'n agtergrondproses wat jou toelaat om pakkiefilterreëls dinamies via D-Bus te verander sonder om die pakkiefilterreëls te herlaai of gevestigde verbindings te breek. Die projek word reeds in baie Linux-verspreidings gebruik, insluitend RHEL 7+, Fedora 18+ en SUSE/openSUSE 15+. Die firewalld-kode is in Python geskryf en is onder die GPLv2-lisensie gelisensieer.

Om die firewall te bestuur, word die firewall-cmd-hulpprogram gebruik, wat, wanneer reëls geskep word, nie gebaseer is op IP-adresse, netwerkkoppelvlakke en poortnommers nie, maar op die name van dienste (byvoorbeeld, om toegang tot SSH oop te maak, benodig jy om "firewall-cmd -add -service = ssh" uit te voer, om SSH te sluit - "firewall-cmd --remove --service=ssh"). Die firewall-config (GTK) grafiese koppelvlak en die firewall-applet (Qt) applet kan ook gebruik word om die firewall-konfigurasie te verander. Ondersteuning vir firewallbestuur via D-BUS API-firewalld is beskikbaar in projekte soos NetworkManager, libvirt, podman, docker en fail2ban.

'n Beduidende verandering in die weergawenommer word geassosieer met veranderinge wat terugwaartse versoenbaarheid verbreek en die gedrag van werk met sones verander. Alle filterparameters wat in die sone gedefinieer is, word nou slegs toegepas op verkeer wat gerig is aan die gasheer waarop die firewalld loop, en die filter van vervoerverkeer vereis die instelling van beleide. Die mees opvallende veranderinge:

  • Die backend wat dit toegelaat het om bo-op iptables te werk, is verouderd verklaar. Ondersteuning vir iptables sal vir die afsienbare toekoms behou word, maar hierdie backend sal nie ontwikkel word nie.
  • Die intra-sone-aanstuurmodus is by verstek geaktiveer en geaktiveer vir alle nuwe sones, wat vrye beweging van pakkies tussen netwerkkoppelvlakke of verkeersbronne binne een sone (openbaar, blok, vertroud, intern, ens.) moontlik maak. Om die ou gedrag terug te keer en te verhoed dat pakkies binne een sone aangestuur word, kan jy die opdrag "firewall-cmd -permanent -zone public -remove-forward" gebruik.
  • Reëls wat verband hou met adresvertaling (NAT) is na die "inet"-protokolfamilie geskuif (voorheen by die "ip"- en "ip6"-families gevoeg, wat gelei het tot die behoefte om reëls vir IPv4 en IPv6 te dupliseer). Die verandering het ons toegelaat om van duplikate ontslae te raak wanneer ipset gebruik word - in plaas van drie kopieë van ipset-inskrywings, word een nou gebruik.
  • Die "verstek" aksie gespesifiseer in die "--set-teiken" parameter is nou gelykstaande aan "verwerp", d.w.s. alle pakkies wat nie onder die reëls val wat in die sone gedefinieer is nie, sal by verstek geblokkeer word. 'n Uitsondering word slegs gemaak vir ICMP-pakkies, wat steeds deurgelaat word. Om die ou gedrag vir die publiek toeganklike "vertroude" sone terug te gee, kan jy die volgende reëls gebruik: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target AANVAAR firewall-cmd —permanent — policy allowForward —add-ingress -zone publieke firewall-cmd —permanent —policy allowForward —add-egress-zone vertroude firewall-cmd —herlaai
  • Positiewe prioriteitsbeleide word nou uitgevoer onmiddellik voordat die "--stel-teiken vang-alles" reël uitgevoer word, m.a.w. op die oomblik voordat die finale druppel bygevoeg word, verwerp of aanvaar reëls, insluitend vir sones wat "--set-target drop|reject|accept" gebruik.
  • ICMP-blokkering is nou slegs van toepassing op inkomende pakkies wat aan die huidige gasheer (invoer) geadresseer is en beïnvloed nie pakkies wat tussen sones herlei word nie (aanstuur).
  • Die tftp-kliëntdiens, wat ontwerp is om verbindings vir die TFTP-protokol op te spoor, maar in 'n onbruikbare vorm was, is verwyder.
  • Die "direkte" koppelvlak is afgekeur, sodat gereedgemaakte pakkiefilterreëls direk ingevoeg kan word. Die behoefte aan hierdie koppelvlak het verdwyn nadat die vermoë bygevoeg is om herlei en uitgaande pakkies te filter.
  • Bygevoeg CleanupModulesOnExit-parameter, wat by verstek na "nee" verander word. Deur hierdie parameter te gebruik, kan jy die aflaai van kernmodules beheer nadat firewalld afgesluit is.
  • Word toegelaat om ipset te gebruik wanneer die teikenstelsel (bestemming) bepaal word.
  • Bygevoeg definisies vir WireGuard, Kubernetes en netbios-ns dienste.
  • Implementeer outovoltooiingsreëls vir zsh.
  • Python 2-ondersteuning is gestaak.
  • Die lys van afhanklikhede is verkort. Vir firewalld om te werk, bykomend tot die Linux-kern, word die enigste python-biblioteke dbus, gobject en nftables nou vereis, en die ebtables, ipset en iptables-pakkette word as opsioneel geklassifiseer. Die luislangbiblioteke-versierder en -strokie is uit die afhanklikhede verwyder.

Bron: opennet.ru

Voeg 'n opmerking