ProHoster > Blog > nutizie internet > Liberazione di Firewalld 1.0

Liberazione di Firewalld 1.0

Una versione di u firewall firewalld 1.0 cuntrullatu dinamicamente hè presentata, implementata in forma di wrapper sopra i filtri di pacchetti nftables è iptables. Firewalld funziona cum'è un prucessu di fondu chì vi permette di cambià dinamicamente e regule di filtru di pacchetti via D-Bus senza avè da ricaricà e regule di filtru di pacchetti o di rompe e cunnessione stabilite. U prugettu hè digià utilizatu in parechje distribuzioni Linux, cumprese RHEL 7+, Fedora 18+ è SUSE/openSUSE 15+. U codice firewalld hè scrittu in Python è hè licenziatu sottu a licenza GPLv2.

Per gestisce u firewall, l'utilità firewall-cmd hè utilizata, chì, quandu crea regule, ùn hè micca basatu annantu à l'indirizzi IP, l'interfacce di rete è i numeri di portu, ma in i nomi di servizii (per esempiu, per apre l'accessu à SSH avete bisognu di eseguite "firewall-cmd -add -service= ssh", per chjude SSH - "firewall-cmd -remove -service=ssh"). Per cambià a cunfigurazione di u firewall, l'interfaccia gràfica firewall-config (GTK) è l'applet firewall-applet (Qt) ponu ancu esse usate. U supportu per a gestione di firewall via l'API D-BUS firewalld hè dispunibule in prughjetti cum'è NetworkManager, libvirt, podman, docker è fail2ban.

Un cambiamentu significativu in u numeru di versione hè assuciatu cù cambiamenti chì rompenu a cumpatibilità retrocede è cambianu u cumpurtamentu di travaglià cù zoni. Tutti i paràmetri di filtrazione definiti in a zona sò avà appiicati solu à u trafficu indirizzatu à l'ospiti nantu à quale firewalld hè in esecuzione, è a filtrazione di u trafficu di transitu richiede l'impostazioni di pulitiche. I cambiamenti più evidenti:

  • U backend chì hà permessu di travaglià nantu à iptables hè statu dichjaratu obsolet. U supportu per iptables serà mantinutu per u futuru previsible, ma questu backend ùn serà micca sviluppatu.
  • U modu di inoltri intra-zona hè attivatu è attivatu per difettu per tutte e novi zoni, chì permettenu u muvimentu liberu di pacchetti trà interfacce di rete o fonti di trafficu in una zona (publicu, bloccu, fiducia, internu, etc.). Per rinvià u vechju cumpurtamentu è impedisce chì i pacchetti sò trasmessi in una zona, pudete aduprà u cumandimu "firewall-cmd -permanent -zone public -remove-forward".
  • E regule relative à a traduzzione di l'indirizzu (NAT) sò state spustate in a famiglia di protokollu "inet" (previamente aghjuntu à e famiglie "ip" è "ip6", chì hà purtatu à a necessità di duplicà e regule per IPv4 è IPv6). U cambiamentu ci hà permessu di sbarazzarsi di i duplicati quandu si usa ipset - invece di trè copie di e voci ipset, unu hè avà utilizatu.
  • L'azzione "default" specificata in u paràmetru "--set-target" hè oghji equivalente à "reject", i.e. tutti i pacchetti chì ùn sò micca sottumessi à e regule definite in a zona seranu bluccati per difettu. Una eccezzioni hè fatta solu per i pacchetti ICMP, chì sò sempre permessi. Per rinvià u vechju cumpurtamentu per a zona "fiducia" accessibile publicamente, pudete aduprà e regule seguenti: firewall-cmd -permanent -new-policy allowForward firewall-cmd -permanent -policy allowForward -set-target ACCEPT firewall-cmd -permanent - policy allowForward -add-ingress -zone public firewall-cmd -permanent -policy allowForward -add-egress-zone trusted firewall-cmd -reload
  • E pulitiche di priorità pusitiva sò avà eseguite immediatamente prima chì a regula "--set-target catch-all" hè eseguita, i.e. in u mumentu prima di aghjunghje a goccia finale, ricusate o accettà e regule, ancu per e zoni chì utilizanu "--set-target drop|reject|accept".
  • U bluccatu ICMP s'applica avà solu à i pacchetti in entrata indirizzati à l'ospite attuale (input) è ùn affetta micca i pacchetti rediretti trà e zone (in avanti).
  • U serviziu tftp-client, cuncepitu per seguità e cunnessione per u protocolu TFTP, ma era in una forma inutilizabile, hè statu eliminatu.
  • L'interfaccia "diretta" hè stata deprecata, chì permette à e regule di filtru di pacchetti pronti per esse inserite direttamente. A necessità di sta interfaccia hè sparita dopu avè aghjustatu a capacità di filtrà i pacchetti rediretti è in uscita.
  • Aggiuntu paràmetru CleanupModulesOnExit, chì hè cambiatu in "no" per automaticamente. Utilizendu stu paràmetru, pudete cuntrullà u scaricamentu di i moduli di u kernel dopu chì u firewalld chjude.
  • Permette d'utilizà ipset quandu determina u sistema di destinazione (destinazione).
  • Definizioni aghjunte per i servizii WireGuard, Kubernetes è netbios-ns.
  • Implementazione di e regule di cumpletamentu automaticu per zsh.
  • U supportu di Python 2 hè statu cessatu.
  • A lista di dipendenze hè stata accurtata. Per u firewalld per travaglià, in più di u kernel Linux, l'unicu biblioteche python dbus, gobject è nftables sò avà richiesti, è i pacchetti ebtables, ipset è iptables sò classificati cum'è opzionali. U decoratore di biblioteche python è u slip sò stati eliminati da e dipendenze.

Source: opennet.ru

Add a comment