ፕሮሆስተር > ጦማር > የኢንተርኔት ዜና > ፋየርዎልድ 1.0 መለቀቅ

ፋየርዎልድ 1.0 መለቀቅ

በተለዋዋጭ ቁጥጥር የሚደረግለት የፋየርዎል ፋየርዎል 1.0 መልቀቅ ቀርቧል፣ በ nftables እና iptables ፓኬት ማጣሪያዎች ላይ በመጠቅለያ መልክ የተተገበረ። ፋየርዎልድ የፓኬት ማጣሪያ ደንቦቹን እንደገና መጫን ሳያስፈልግዎ ወይም የተመሰረቱ ግንኙነቶችን ሳያቋርጡ በዲ አውቶቡስ በኩል የፓኬት ማጣሪያ ደንቦችን በተለዋዋጭ እንዲቀይሩ የሚያስችልዎ እንደ የጀርባ ሂደት ነው። ፕሮጀክቱ RHEL 7+፣ Fedora 18+ እና SUSE/openSUSE 15+ን ጨምሮ በብዙ የሊኑክስ ስርጭቶች ውስጥ አስቀድሞ ጥቅም ላይ ውሏል። የፋየርዎልድ ኮድ በፓይዘን የተፃፈ ሲሆን በGPLv2 ፍቃድ ተሰጥቶታል።

ፋየርዎልን ለማስተዳደር የፋየርዎል-cmd መገልገያ ጥቅም ላይ ይውላል, እሱም ደንቦችን በሚፈጥሩበት ጊዜ, በአይፒ አድራሻዎች, በአውታረ መረብ መገናኛዎች እና በወደብ ቁጥሮች ላይ የተመሰረተ አይደለም, ነገር ግን በአገልግሎቶች ስም (ለምሳሌ, የ SSH መዳረሻ ለመክፈት ያስፈልግዎታል. “ፋየርዎል-cmd — አክል — አገልግሎት = ssh”፣ SSH ለመዝጋት – “ፋየርዎል-cmd –remove –service=ssh”ን ያሂዱ)። የፋየርዎል አወቃቀሩን ለመቀየር የፋየርዎል-ውቅር (GTK) ግራፊክ በይነገጽ እና የፋየርዎል-አፕል (Qt) አፕሌት መጠቀምም ይቻላል። በD-BUS API Firewalld በኩል የፋየርዎል አስተዳደር ድጋፍ እንደ NetworkManager፣libvirt፣ podman፣ docker እና fail2ban ባሉ ፕሮጀክቶች ውስጥ ይገኛል።

በስሪት ቁጥሩ ላይ ከፍተኛ ለውጥ ወደ ኋላ ተኳሃኝነትን ከሚሰብሩ እና ከዞኖች ጋር የመስራት ባህሪን ከሚቀይሩ ለውጦች ጋር የተያያዘ ነው። በዞኑ ውስጥ የተገለጹት ሁሉም የማጣራት መለኪያዎች አሁን የሚተገበሩት ፋየርዎል በሚሠራበት አስተናጋጅ ላይ በሚደረግ ትራፊክ ላይ ብቻ ነው፣ እና የመጓጓዣ ትራፊክን ለማጣራት ፖሊሲዎችን ማቀናበር ይጠይቃል። በጣም የሚታዩ ለውጦች:

  • በ iptables ላይ እንዲሰራ የፈቀደው የጀርባው ክፍል ጊዜው ያለፈበት ነው ተብሏል። የ iptables ድጋፍ ለወደፊቱ ይጠበቃል, ነገር ግን ይህ የጀርባ አሠራር አይዳብርም.
  • የውስጠ-ዞን-ማስተላለፊያ ሁነታ ለሁሉም አዳዲስ ዞኖች በነባሪነት ነቅቷል እና ነቅቷል ይህም በኔትወርክ በይነገጾች ወይም በአንድ ዞን ውስጥ ባሉ የትራፊክ ምንጮች መካከል (ይፋዊ፣ ብሎክ፣ ታማኝ፣ ውስጣዊ፣ ወዘተ) መካከል ያሉ እሽጎች በነፃ እንዲንቀሳቀሱ ያስችላል። የድሮውን ባህሪ ለመመለስ እና እሽጎች በአንድ ዞን ውስጥ እንዳይተላለፉ ለመከላከል "ፋየርዎል-cmd -ቋሚ - ዞን የህዝብ -ማስወገድ-ወደፊት" የሚለውን ትዕዛዝ መጠቀም ይችላሉ.
  • ከአድራሻ ትርጉም (NAT) ጋር የተያያዙ ደንቦች ወደ "ኢኔት" ፕሮቶኮል ቤተሰብ ተወስደዋል (ከዚህ ቀደም ወደ "ip" እና "ip6" ቤተሰቦች ተጨምረዋል, ይህም ለ IPv4 እና IPv6 ደንቦችን ማባዛት አስፈለገ). ለውጡ ipset ስንጠቀም ብዜቶችን እንድናስወግድ አስችሎናል - በሶስት ቅጂዎች ምትክ ipset ግቤቶች አንዱ አሁን ጥቅም ላይ ይውላል።
  • በ "--set-target" ግቤት ውስጥ የተገለጸው "ነባሪ" እርምጃ አሁን ከ"ውድቅ" ጋር እኩል ነው፣ ማለትም. በዞኑ ውስጥ በተገለጹት ህጎች ስር የማይወድቁ ሁሉም እሽጎች በነባሪነት ይታገዳሉ። ለየት ያለ የሚደረገው ለ ICMP ጥቅሎች ብቻ ነው፣ ይህም አሁንም ለተፈቀደላቸው። የድሮውን ባህሪ በይፋ ተደራሽ ለሆነው "የታመነ" ዞን ለመመለስ የሚከተሉትን ህጎች መጠቀም ይችላሉ፡-ፋየርዎል-cmd —ቋሚ —አዲስ-ፖሊሲ ፍቃድForward firewall-cmd —ቋሚ —መመሪያ መፍቀድForward — set-ዒላማ ACCEPT ፋየርዎል-cmd —ቋሚ — የመመሪያ ፍቃድ ወደፊት - መደመር - ዞን የህዝብ ፋየርዎል -cmd -ቋሚ -ፖሊሲ ፍቃድ ወደፊት - add-egress-zone የታመነ ፋየርዎል-cmd -ዳግም መጫን
  • አወንታዊ ቅድሚያ የሚሰጡ ፖሊሲዎች የ"--set- target catch-all" ህግ ከመፈጸሙ በፊት ወዲያውኑ ይፈጸማሉ፣ ማለትም። በአሁኑ ጊዜ የመጨረሻውን ጠብታ ከመጨመራቸው በፊት፣ “--set-target drop|reject|መቀበል” ለሚጠቀሙ ዞኖች ጨምሮ ደንቦችን ውድቅ ያድርጉ ወይም ይቀበሉ።
  • የ ICMP እገዳ አሁን ለአሁኑ አስተናጋጅ (ግቤት) በተፃፉ መጪ ፓኬቶች ላይ ብቻ ነው የሚሰራው እና በዞኖች መካከል (ወደ ፊት) በሚዞሩ እሽጎች ላይ ተጽዕኖ አያሳድርም።
  • ለTFTP ፕሮቶኮል ግንኙነቶችን ለመከታተል የተነደፈው tftp-client አገልግሎት፣ ነገር ግን ጥቅም ላይ ሊውል በማይችል መልኩ ነበር፣ ተወግዷል።
  • የ"ቀጥታ" በይነገጽ ተቋርጧል፣ ይህም ዝግጁ የሆነ የፓኬት ማጣሪያ ደንቦች በቀጥታ እንዲገቡ ያስችላል። የተዘዋወሩ እና የሚወጡ ፓኬጆችን የማጣራት ችሎታ ከጨመረ በኋላ የዚህ በይነገጽ አስፈላጊነት ጠፋ።
  • የ CleanupModulesOnExit መለኪያ ታክሏል፣ እሱም በነባሪ ወደ "አይ" ተቀይሯል። ይህንን ግቤት በመጠቀም ፋየርዎል ከተዘጋ በኋላ የከርነል ሞጁሎችን ማራገፊያ መቆጣጠር ይችላሉ።
  • የታለመውን ስርዓት (መዳረሻ) ሲወስኑ ipset ለመጠቀም ተፈቅዷል።
  • ለWireGuard፣ Kubernetes እና netbios-ns አገልግሎቶች ተጨማሪ ትርጓሜዎች።
  • ለ zsh የተተገበረ ራስ-ማጠናቀቂያ ደንቦች.
  • Python 2 ድጋፍ ተቋርጧል።
  • የጥገኛዎች ዝርዝር አጭር ሆኗል። ፋየርዎልድ እንዲሠራ ከሊኑክስ ከርነል በተጨማሪ ብቸኛው የፓይቶን ቤተ-መጻሕፍት dbus፣ gobject እና nftables አሁን ያስፈልጋሉ፣ እና ኢብቴብል፣ ipset እና iptables ጥቅሎች እንደ አማራጭ ተመድበዋል። የፓይቶን ቤተ መፃህፍት ማስጌጫ እና ሸርተቴ ከጥገኛዎቹ ተወግደዋል።

ምንጭ: opennet.ru

አስተያየት ያክሉ