Es presenta una versió del tallafoc controlat dinàmicament firewalld 1.0, implementat en forma d'embolcall sobre els filtres de paquets nftables i iptables. Firewalld s'executa com un procés en segon pla que us permet canviar dinàmicament les regles del filtre de paquets mitjançant D-Bus sense haver de tornar a carregar les regles del filtre de paquets o trencar les connexions establertes. El projecte ja s'utilitza en moltes distribucions de Linux, incloses RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. El codi del tallafoc està escrit en Python i té la llicència GPLv2.
Per gestionar el tallafoc, s'utilitza la utilitat firewall-cmd, que, en crear regles, no es basa en adreces IP, interfícies de xarxa i números de port, sinó en els noms dels serveis (per exemple, per obrir l'accés a SSH cal executeu “firewall-cmd —add —service= ssh”, per tancar SSH – “firewall-cmd –remove –service=ssh”). Per canviar la configuració del tallafoc, també es poden utilitzar la interfície gràfica de configuració del tallafoc (GTK) i l'applet del tallafoc-applet (Qt). El suport per a la gestió del tallafoc mitjançant el tallafoc de l'API D-BUS està disponible en projectes com NetworkManager, libvirt, podman, docker i fail2ban.
Un canvi significatiu en el número de versió s'associa amb canvis que trenquen la compatibilitat enrere i canvien el comportament de treballar amb zones. Tots els paràmetres de filtratge definits a la zona s'apliquen ara només al trànsit adreçat a l'amfitrió en el qual s'executa el firewalld i el filtratge del trànsit de trànsit requereix establir polítiques. Els canvis més notables:
- El backend que li va permetre treballar a sobre d'iptables s'ha declarat obsolet. El suport per a iptables es mantindrà en un futur previsible, però aquest backend no es desenvoluparà.
- El mode de reenviament intrazona està habilitat i activat per defecte per a totes les zones noves, permetent el lliure moviment de paquets entre interfícies de xarxa o fonts de trànsit dins d'una zona (pública, de bloc, de confiança, interna, etc.). Per tornar el comportament antic i evitar que els paquets es reenviïn dins d'una zona, podeu utilitzar l'ordre "firewall-cmd -permanent -zone public -remove-forward".
- Les regles relacionades amb la traducció d'adreces (NAT) s'han mogut a la família de protocols "inet" (afegida anteriorment a les famílies "ip" i "ip6", fet que va comportar la necessitat de duplicar les regles per a IPv4 i IPv6). El canvi ens va permetre desfer-nos dels duplicats quan utilitzem ipset: en lloc de tres còpies d'entrades ipset, ara s'utilitza una.
- L'acció "per defecte" especificada al paràmetre "--set-target" és ara equivalent a "rebutjar", és a dir. tots els paquets que no entren sota les regles definides a la zona es bloquejaran per defecte. Només es fa una excepció per als paquets ICMP, que encara es permeten. Per retornar el comportament antic per a la zona "de confiança" accessible públicament, podeu utilitzar les regles següents: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — política allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone Trusted firewall-cmd —recarrega
- Les polítiques de prioritat positiva ara s'executen immediatament abans que s'executi la regla "--set-target catch-all", és a dir. en el moment abans d'afegir el descens final, rebutjar o acceptar les regles, fins i tot per a zones que utilitzen "--set-target drop|reject|accept".
- El bloqueig ICMP ara només s'aplica als paquets entrants adreçats a l'amfitrió actual (entrada) i no afecta els paquets redirigits entre zones (enviament).
- S'ha eliminat el servei tftp-client, dissenyat per fer un seguiment de les connexions per al protocol TFTP, però que estava en una forma inutilitzable.
- La interfície "directa" ha quedat obsoleta, la qual cosa permet inserir directament regles de filtre de paquets ja fetes. La necessitat d'aquesta interfície va desaparèixer després d'afegir la possibilitat de filtrar paquets redirigits i sortints.
- S'ha afegit el paràmetre CleanupModulesOnExit, que es canvia a "no" per defecte. Amb aquest paràmetre, podeu controlar la descàrrega dels mòduls del nucli després que el firewalld s'hagi tancat.
- Permès utilitzar ipset quan es determina el sistema de destinació (destinació).
- S'han afegit definicions per als serveis WireGuard, Kubernetes i netbios-ns.
- S'han implementat regles d'autocompleció per a zsh.
- El suport de Python 2 s'ha interromput.
- La llista de dependències s'ha escurçat. Perquè el firewalld funcioni, a més del nucli de Linux, ara es requereixen les úniques biblioteques de Python dbus, gobject i nftables, i els paquets ebtables, ipset i iptables es classifiquen com a opcionals. El decorador de biblioteques de Python i el slip s'han eliminat de les dependències.
Font: opennet.ru