Se lanzó el firewalld 2.4.0 controlado dinámicamente, implementado como un contenedor sobre los filtros de paquetes nftables e iptables. Firewalld se ejecuta como un proceso en segundo plano que le permite cambiar dinámicamente las reglas de filtrado de paquetes a través de D-Bus sin tener que recargar las reglas de filtrado de paquetes ni interrumpir las conexiones establecidas. El proyecto ya se utiliza en muchas distribuciones de Linux, incluidas RHEL 7+, Fedora 18+ y SUSE/openSUSE 15+. El código firewalld está escrito en Python y tiene la licencia GPLv2.
Para administrar el firewall, se utiliza la utilidad firewall-cmd, que, al crear reglas, no se basa en direcciones IP, interfaces de red y números de puerto, sino en los nombres de los servicios (por ejemplo, para abrir el acceso a SSH, debe ejecute “firewall-cmd —add —service= ssh”, para cerrar SSH – “firewall-cmd –remove –service=ssh”). Para cambiar la configuración del firewall, también se pueden utilizar la interfaz gráfica firewall-config (GTK) y el subprograma firewall-applet (Qt). El soporte para la gestión de firewall a través de D-BUS API firewalld está disponible en proyectos como NetworkManager, libvirt, podman, docker y fail2ban.
Cambios clave:
- Se ha añadido un conjunto de reglas de "puerta de enlace" que cubre la funcionalidad de un router doméstico típico (incluyendo NAT, controladores de seguimiento de conexiones y redireccionamiento de tráfico entre zonas). Ejemplo de configuración de una puerta de enlace con interfaces de red internas y externas mediante el conjunto de reglas de "puerta de enlace": `firewall-cmd --permanent --zone internal --add-interface eth0` `firewall-cmd --permanent --zone external --add-interface eth1` `firewall-cmd --permanent --policy-set gateway --remove-disable` `firewall-cmd --reload`
- Se ha implementado una bandera de "deshabilitación" que se puede utilizar en la configuración XML, la utilidad de línea de comandos o a través de DBus para deshabilitar reglas individuales y conjuntos de políticas.
- El tamaño máximo de los nombres de las reglas se ha incrementado de 17 a 128 caracteres.
- Se agregó el servicio gitea para la plataforma de desarrollo colaborativo del mismo nombre (puerto TCP 3000).
- Se agregó el servicio syslog-ng para el sistema de registro del mismo nombre (puertos 514, 601 y 6514).
- Se agregó el servicio proxy-http para proxies HTTP/HTTPS, como Squid (puerto TCP 3128).
- Se agregó el servicio socks para servidores proxy que implementan el protocolo SOCKS (puerto TCP 1080).
Fuente: opennet.ru
