Nftables və iptables paket filtrləri üzərində sarğı şəklində həyata keçirilən dinamik idarə olunan firewalld 1.0-ın buraxılışı təqdim olunur. Firewalld, paket filtri qaydalarını yenidən yükləmədən və ya qurulmuş əlaqələri pozmadan D-Bus vasitəsilə paket filtri qaydalarını dinamik şəkildə dəyişməyə imkan verən fon prosesi kimi işləyir. Layihə artıq RHEL 7+, Fedora 18+ və SUSE/openSUSE 15+ daxil olmaqla bir çox Linux paylamalarında istifadə olunur. Firewalld kodu Python-da yazılmışdır və GPLv2 lisenziyası altında lisenziyalıdır.
Firewall-u idarə etmək üçün qaydalar yaratarkən IP ünvanlarına, şəbəkə interfeyslərinə və port nömrələrinə deyil, xidmətlərin adlarına əsaslanan firewall-cmd yardım proqramı istifadə olunur (məsələn, SSH-ə girişi açmaq üçün sizə lazımdır SSH-ni bağlamaq üçün “firewall-cmd —add —service= ssh”-i işə salın – “firewall-cmd –remove –service=ssh”). Firewall konfiqurasiyasını dəyişdirmək üçün firewall-config (GTK) qrafik interfeysi və firewall-applet (Qt) appletindən də istifadə edilə bilər. D-BUS API firewalld vasitəsilə firewall idarəçiliyinə dəstək NetworkManager, libvirt, podman, docker və fail2ban kimi layihələrdə mövcuddur.
Versiya nömrəsindəki əhəmiyyətli dəyişiklik geriyə uyğunluğu pozan və zonalarla işləmə davranışını dəyişdirən dəyişikliklərlə əlaqələndirilir. Zonada müəyyən edilmiş bütün filtrləmə parametrləri indi yalnız firewalld-un işlədiyi hosta ünvanlanan trafikə tətbiq edilir və tranzit trafikinin süzülməsi siyasətlərin qurulmasını tələb edir. Ən nəzərə çarpan dəyişikliklər:
- Onun iptables üzərində işləməsinə imkan verən arxa plan köhnəlmiş elan edilmişdir. İptables üçün dəstək yaxın gələcəkdə qorunacaq, lakin bu backend inkişaf etdirilməyəcək.
- Zonadaxili yönləndirmə rejimi bütün yeni zonalar üçün defolt olaraq aktiv edilir və aktivləşdirilir ki, bu da paketlərin şəbəkə interfeysləri və ya bir zona daxilində (ictimai, blok, etibarlı, daxili və s.) trafik mənbələri arasında sərbəst hərəkətinə imkan verir. Köhnə davranışı qaytarmaq və paketlərin bir zona daxilində yönləndirilməsinin qarşısını almaq üçün “firewall-cmd –permanent –zone public –remove-forward” əmrindən istifadə edə bilərsiniz.
- Ünvan tərcüməsi (NAT) ilə bağlı qaydalar “inet” protokol ailəsinə köçürülüb (əvvəllər “ip” və “ip6” ailələrinə əlavə edilib və bu, IPv4 və IPv6 üçün qaydaların dublikatına ehtiyac yaranıb). Dəyişiklik bizə ipset-dən istifadə edərkən dublikatlardan qurtulmağa imkan verdi - ipset girişlərinin üç nüsxəsi əvəzinə indi biri istifadə olunur.
- "--set-target" parametrində göstərilən "default" hərəkəti indi "rədd etmə" ilə bərabərdir, yəni. zonada müəyyən edilmiş qaydalara uyğun olmayan bütün paketlər standart olaraq bloklanacaq. İstisna yalnız hələ də keçməyə icazə verilən ICMP paketləri üçün edilir. Hamı üçün əlçatan olan “etibarlı” zona üçün köhnə davranışı qaytarmaq üçün aşağıdakı qaydalardan istifadə edə bilərsiniz: firewall-cmd —daimi —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —daimi — siyasət allowForward —add-ingress -zona ictimai firewall-cmd —daimi —policy allowForward —add-egress-zona etibarlı firewall-cmd —yenidən yüklə
- Müsbət prioritet siyasətlər indi “--set-target catch-all” qaydası icra edilməzdən dərhal əvvəl icra olunur, yəni. son enişi əlavə etməzdən əvvəl “--set-target drop|reject|qəbul” istifadə edən zonalar da daxil olmaqla qaydaları rədd edin və ya qəbul edin.
- ICMP bloklanması indi yalnız cari hosta (giriş) ünvanlanan daxil olan paketlərə aiddir və zonalar arasında (irəli) yönləndirilən paketlərə təsir göstərmir.
- TFTP protokolu üçün bağlantıları izləmək üçün nəzərdə tutulmuş, lakin yararsız formada olan tftp-müştəri xidməti silinib.
- Hazır paket filtri qaydalarını birbaşa daxil etməyə imkan verən "birbaşa" interfeys köhnəldi. Yönləndirilən və gedən paketləri süzgəcdən keçirmək imkanı əlavə edildikdən sonra bu interfeysə ehtiyac yox oldu.
- Defolt olaraq "yox" olaraq dəyişdirilən CleanupModulesOnExit parametri əlavə edildi. Bu parametrdən istifadə edərək, firewalld bağlandıqdan sonra kernel modullarının boşaldılmasına nəzarət edə bilərsiniz.
- Hədəf sistemi (təyinatı) təyin edərkən ipsetdən istifadə etməyə icazə verilir.
- WireGuard, Kubernetes və netbios-ns xidmətləri üçün təriflər əlavə edildi.
- zsh üçün avtomatik tamamlama qaydaları tətbiq edildi.
- Python 2 dəstəyi dayandırıldı.
- Asılılıqların siyahısı qısaldılmışdır. Firewalld-un işləməsi üçün Linux nüvəsinə əlavə olaraq yeganə piton kitabxanaları dbus, gobject və nftables tələb olunur və ebtables, ipset və iptables paketləri isteğe bağlı olaraq təsnif edilir. Python kitabxanalarının dekoratoru və slipi asılılıqlardan çıxarılıb.
Mənbə: opennet.ru