Die Veröffentlichung der dynamisch gesteuerten Firewall firewalld 1.2 wurde veröffentlicht, implementiert in Form eines Wrappers über die Paketfilter nftables und iptables. Firewalld wird als Hintergrundprozess ausgeführt, der es Ihnen ermöglicht, Paketfilterregeln dynamisch über D-Bus zu ändern, ohne die Paketfilterregeln neu laden oder bestehende Verbindungen unterbrechen zu müssen. Das Projekt wird bereits in vielen Linux-Distributionen verwendet, darunter RHEL 7+, Fedora 18+ und SUSE/openSUSE 15+. Der Firewall-Code ist in Python geschrieben und steht unter der GPLv2-Lizenz.
Zur Verwaltung der Firewall wird das Dienstprogramm firewall-cmd verwendet, das beim Erstellen von Regeln nicht auf IP-Adressen, Netzwerkschnittstellen und Portnummern basiert, sondern auf den Namen von Diensten (um beispielsweise den Zugriff auf SSH zu öffnen, müssen Sie dies tun). Führen Sie „firewall-cmd –add –service= ssh“ aus, um SSH zu schließen – „firewall-cmd –remove –service=ssh“). Um die Firewall-Konfiguration zu ändern, können auch die grafische Oberfläche „Firewall-Config“ (GTK) und das Applet „Firewall-Applet“ (Qt) verwendet werden. Unterstützung für die Firewall-Verwaltung über die D-BUS-API firewalld ist in Projekten wie NetworkManager, libvirt, podman, docker und fail2ban verfügbar.
Wichtigste Änderungen:
- Die Dienste snmptls und snmptls-trap wurden implementiert, um den Zugriff auf das SNMP-Protokoll über einen sicheren Kommunikationskanal zu verarbeiten.
- Es wurde ein Dienst implementiert, der das im dezentralen Dateisystem IPFS verwendete Protokoll unterstützt.
- Hinzugefügte Dienste mit Unterstützung für gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus Node-Exporter, kubelet-readonly sowie eine geschützte Version von k8s Controller-Plane.
- Option „--log-target“ hinzugefügt.
- Es wurde ein ausfallsicherer Startmodus hinzugefügt, der es ermöglicht, bei Problemen mit den angegebenen Regeln auf die Standardkonfiguration zurückzusetzen, ohne dass der Host ungeschützt bleibt.
- Bash unterstützt jetzt die Befehlsvervollständigung für die Arbeit mit Regeln.
Source: opennet.ru