Публикувана е версията на динамично управляваната защитна стена firewalld 1.2, реализирана под формата на обвивка върху филтрите за пакети nftables и iptables. Firewalld работи като фонов процес, който позволява правилата за филтриране на пакети да се променят динамично през D-Bus, без да се налага презареждане на правилата за филтриране на пакети и без прекъсване на установени връзки. Проектът вече се използва в много Linux дистрибуции, включително RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Кодът на защитната стена е написан на Python и се разпространява под лиценз GPLv2.
За управление на защитната стена се използва помощната програма firewall-cmd, която при създаване на правила се основава не на IP адреси, мрежови интерфейси и номера на портове, а на имена на услуги (например, за да отворите достъп до SSH, трябва за да изпълните "firewall-cmd -add -service = ssh", за да затворите SSH - "firewall-cmd --remove --service=ssh"). Графичният интерфейс firewall-config (GTK) и аплетът firewall-applet (Qt) също могат да се използват за промяна на конфигурацията на защитната стена. Поддръжка за управление на защитна стена чрез D-BUS API firewalld е налична в проекти като NetworkManager, libvirt, podman, docker и fail2ban.
Основни промени:
- Услугите snmptls и snmptls-trap са внедрени за обработка на достъпа до SNMP протокола чрез защитен комуникационен канал.
- Внедрена е услуга, която поддържа протокола, използван в децентрализираната IPFS файлова система.
- Добавени услуги с поддръжка за gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly и защитена версия на k8s controller-plane.
- Добавен е параметър „--log-target“.
- Добавен е режим на безопасно стартиране, който позволява, в случай на проблеми с посочените правила, да се върнете към конфигурацията по подразбиране, без да оставяте хоста незащитен.
- bash осигурява поддръжка за автоматично довършване на команди за работа с правила.
Източник: opennet.ru