Die vrystelling van die dinamies bestuurde firewalld 1.2 firewall, geïmplementeer in die vorm van 'n omhulsel oor die nftables en iptables pakkie filters, is gepubliseer. Firewalld loop as 'n agtergrondproses wat toelaat dat pakkiefilterreëls dinamies oor D-Bus verander kan word sonder om pakkiefilterreëls te herlaai en sonder om gevestigde verbindings te laat val. Die projek word reeds op baie Linux-verspreidings gebruik, insluitend RHEL 7+, Fedora 18+ en SUSE/openSUSE 15+. Die firewalld-kode is in Python geskryf en onder die GPLv2-lisensie versprei.
Om die firewall te bestuur, word die firewall-cmd-hulpprogram gebruik, wat, wanneer reëls geskep word, nie gebaseer is op IP-adresse, netwerkkoppelvlakke en poortnommers nie, maar op die name van dienste (byvoorbeeld, om toegang tot SSH oop te maak, benodig jy om "firewall-cmd -add -service = ssh" uit te voer, om SSH te sluit - "firewall-cmd --remove --service=ssh"). Die firewall-config (GTK) grafiese koppelvlak en die firewall-applet (Qt) applet kan ook gebruik word om die firewall-konfigurasie te verander. Ondersteuning vir firewallbestuur via D-BUS API-firewalld is beskikbaar in projekte soos NetworkManager, libvirt, podman, docker en fail2ban.
Belangrikste veranderinge:
- Die snmptls- en snmptls-trap-dienste is geïmplementeer om toegang tot die SNMP-protokol deur 'n veilige kommunikasiekanaal te hanteer.
- Het 'n diens geïmplementeer wat die protokol ondersteun wat in die gedesentraliseerde IPFS-lêerstelsel gebruik word.
- Bygevoeg dienste met ondersteuning vir gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-uitvoerder, kubelet-leesalleen, en 'n veilige weergawe van k8s kontroleerder-vliegtuig.
- Bygevoeg "--log-teiken" parameter.
- 'n Failveilige bekendstellingsmodus is bygevoeg, wat dit moontlik maak om, in geval van probleme met die gespesifiseerde reëls, terug te rol na die verstekkonfigurasie sonder om die gasheer onbeskerm te laat.
- bash bied ondersteuning vir outovoltooiing van opdragte om met reëls te werk.
Bron: opennet.ru