ProHoster > Блог > balita sa internet > Pagpagawas sa Firewalld 1.0

Pagpagawas sa Firewalld 1.0

Ang usa ka pagpagawas sa dinamikong kontrolado nga firewall nga firewalld 1.0 gipresentar, gipatuman sa porma sa usa ka wrapper sa mga nftables ug iptables packet filters. Ang Firewalld nagdagan ingon usa ka proseso sa background nga nagtugot kanimo sa dinamikong pagbag-o sa mga lagda sa packet filter pinaagi sa D-Bus nga dili kinahanglan nga i-reload ang mga lagda sa packet filter o paglapas sa natukod nga mga koneksyon. Ang proyekto gigamit na sa daghang mga distribusyon sa Linux, lakip ang RHEL 7+, Fedora 18+ ug SUSE/openSUSE 15+. Ang firewalld code gisulat sa Python ug lisensyado ubos sa lisensya sa GPLv2.

Aron madumala ang firewall, gigamit ang firewall-cmd utility, nga, kung maghimo mga lagda, gibase dili sa mga IP address, mga interface sa network ug mga numero sa pantalan, apan sa mga ngalan sa mga serbisyo (pananglitan, aron maablihan ang pag-access sa SSH kinahanglan nimo pagdagan "firewall-cmd -add -service = ssh", aron isira ang SSH - "firewall-cmd -remove -service = ssh"). Aron mausab ang configuration sa firewall, ang firewall-config (GTK) graphical interface ug ang firewall-applet (Qt) applet mahimo usab nga gamiton. Ang suporta alang sa pagdumala sa firewall pinaagi sa D-BUS API firewalld anaa sa mga proyekto sama sa NetworkManager, libvirt, podman, docker ug fail2ban.

Ang usa ka hinungdanon nga pagbag-o sa numero sa bersyon gilangkit sa mga pagbag-o nga nagbungkag sa paatras nga pagkaangay ug nagbag-o sa pamatasan sa pagtrabaho sa mga zone. Ang tanan nga mga parameter sa pagsala nga gihubit sa sona magamit na karon sa trapiko nga gitumong sa host diin ang firewalld nagdagan, ug ang pagsala sa trapiko sa pagbiyahe nanginahanglan pagtakda sa mga palisiya. Ang labing mamatikdan nga mga pagbag-o:

  • Ang backend nga nagtugot niini sa pagtrabaho sa ibabaw sa mga iptables gideklarar nga dili na magamit. Ang suporta alang sa mga iptable ipadayon alang sa umaabot nga umaabot, apan kini nga backend dili maugmad.
  • Ang intra-zone-forwarding mode gipalihok ug gi-aktibo pinaagi sa default alang sa tanan nga bag-ong mga zone, nga nagtugot sa libre nga paglihok sa mga pakete tali sa mga interface sa network o mga gigikanan sa trapiko sa sulod sa usa ka zone (publiko, block, kasaligan, internal, ug uban pa). Aron ibalik ang daan nga pamatasan ug mapugngan ang mga pakete nga ipadala sa sulod sa usa ka zone, mahimo nimong gamiton ang command nga "firewall-cmd -permanent -zone public -remove-forward".
  • Ang mga lagda nga may kalabutan sa paghubad sa address (NAT) gibalhin ngadto sa "inet" nga protocol nga pamilya (kaniadto gidugang sa "ip" ug "ip6" nga mga pamilya, nga misangpot sa panginahanglan sa pagdoble sa mga lagda alang sa IPv4 ug IPv6). Ang pagbag-o nagtugot kanamo sa pagtangtang sa mga duplicate kung naggamit sa ipset - imbes nga tulo ka kopya sa ipset entries, usa na ang gigamit.
  • Ang "default" nga aksyon nga gipiho sa parameter nga "--set-target" katumbas na karon sa "reject", i.e. ang tanan nga mga pakete nga dili mahulog sa ilawom sa mga lagda nga gihubit sa sona ma-block pinaagi sa default. Ang usa ka eksepsiyon gihimo lamang alang sa mga pakete sa ICMP, nga gitugotan gihapon. Aron ibalik ang karaan nga kinaiya alang sa publiko nga ma-access nga "gisaligan" nga sona, mahimo nimong gamiton ang mosunod nga mga lagda: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — policy allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —reload
  • Ang positibo nga prayoridad nga mga palisiya gipatuman dayon sa wala pa ang "--set-target catch-all" nga lagda ipatuman, i.e. sa pagkakaron sa dili pa idugang ang katapusang drop, isalikway o dawaton ang mga lagda, lakip na ang mga zone nga naggamit og "--set-target drop|reject|accept".
  • Ang pag-block sa ICMP karon magamit lamang sa umaabot nga mga packet nga gitumong sa kasamtangan nga host (input) ug dili makaapekto sa mga packet nga gi-redirect tali sa mga zone (forward).
  • Ang serbisyo sa tftp-client, nga gidesinyo sa pagsubay sa mga koneksyon alang sa TFTP protocol, apan naa sa dili magamit nga porma, gitangtang.
  • Ang "direkta" nga interface wala na gigamit, nga nagtugot sa andam nga hinimo nga packet filter nga mga lagda nga direktang isal-ot. Ang panginahanglan alang niini nga interface nawala human sa pagdugang sa abilidad sa pagsala sa redirected ug outgoing packets.
  • Gidugang CleanupModulesOnExit parameter, nga giusab ngadto sa "dili" sa default. Gamit kini nga parametro, mahimo nimong kontrolon ang pagdiskarga sa mga kernel modules human masira ang firewalld.
  • Gitugotan sa paggamit sa ipset sa pagtino sa target nga sistema (destinasyon).
  • Gidugang nga mga kahulugan alang sa mga serbisyo sa WireGuard, Kubernetes ug netbios-ns.
  • Gipatuman ang mga lagda sa autocompletion alang sa zsh.
  • Ang suporta sa Python 2 gihunong na.
  • Gipamub-an ang listahan sa mga dependency. Aron molihok ang firewalld, dugang sa Linux kernel, ang bugtong python libraries dbus, gobject ug nftables ang gikinahanglan karon, ug ang mga ebtables, ipset ug iptables nga mga pakete giklasipikar isip opsyonal. Ang python libraries decorator ug slip gikuha gikan sa dependencies.

Source: opennet.ru

Idugang sa usa ka comment