Udgivelsen af den dynamisk styrede firewall firewalld 1.2 er blevet offentliggjort, implementeret i form af en indpakning over nftables og iptables pakkefiltre. Firewalld kører som en baggrundsproces, der giver dig mulighed for dynamisk at ændre pakkefilterregler via D-Bus uden at skulle genindlæse pakkefilterreglerne eller afbryde etablerede forbindelser. Projektet bruges allerede i mange Linux-distributioner, inklusive RHEL 7+, Fedora 18+ og SUSE/openSUSE 15+. Firewall-koden er skrevet i Python og er licenseret under GPLv2-licensen.
Til at styre firewallen bruges firewall-cmd-værktøjet, som ved oprettelse af regler ikke er baseret på IP-adresser, netværksgrænseflader og portnumre, men på navnene på tjenester (f.eks. for at åbne adgang til SSH skal du kør “firewall-cmd —add —service= ssh”, for at lukke SSH – “firewall-cmd –remove –service=ssh”). For at ændre firewall-konfigurationen kan firewall-config (GTK) grafisk grænseflade og firewall-applet (Qt) applet også bruges. Support til firewall-styring via D-BUS API-firewalld er tilgængelig i projekter som NetworkManager, libvirt, podman, docker og fail2ban.
Vigtigste ændringer:
- snmptls og snmptls-trap-tjenesterne er blevet implementeret til at behandle adgang til SNMP-protokollen via en sikker kommunikationskanal.
- Der er implementeret en tjeneste, der understøtter den protokol, der bruges i det decentraliserede filsystem IPFS.
- Tilføjede tjenester med understøttelse af gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly, samt en sikker version af k8s controller-plane.
- Tilføjet "--log-target" mulighed.
- Der er tilføjet en fejlsikker opstartstilstand, som tillader, i tilfælde af problemer med de angivne regler, at rulle tilbage til standardkonfigurationen uden at efterlade værten ubeskyttet.
- Bash understøtter nu kommandofuldførelse for at arbejde med regler.
Kilde: opennet.ru