Esitatakse dünaamiliselt juhitava tulemüüri firewalld 1.0 väljalase, mis on rakendatud pakettfiltrite nftables ja iptables ümbrisena. Firewalld töötab taustaprotsessina, mis võimaldab teil D-Busi kaudu pakettfiltri reegleid dünaamiliselt muuta, ilma et peaksite paketifiltri reegleid uuesti laadima või loodud ühendusi katkestama. Projekti kasutatakse juba paljudes Linuxi distributsioonides, sealhulgas RHEL 7+, Fedora 18+ ja SUSE/openSUSE 15+. Tulemüüri kood on kirjutatud Pythonis ja on litsentsitud GPLv2 litsentsi alusel.
Tulemüüri haldamiseks kasutatakse utiliiti firewall-cmd, mis reeglite loomisel ei põhine mitte IP-aadressidel, võrguliidestel ja pordinumbritel, vaid teenuste nimedel (näiteks SSH-le juurdepääsu avamiseks tuleb SSH sulgemiseks käivitage "firewall-cmd -add -service= ssh" – "firewall-cmd -remove -service=ssh"). Tulemüüri konfiguratsiooni muutmiseks saab kasutada ka firewall-config (GTK) graafilist liidest ja tulemüüri apleti (Qt) apletti. Tulemüüri haldamise tugi D-BUS API tulemüüri kaudu on saadaval sellistes projektides nagu NetworkManager, libvirt, podman, docker ja fail2ban.
Versiooninumbri oluline muutus on seotud muudatustega, mis rikuvad tagasiühilduvust ja muudavad tsoonidega töötamise käitumist. Kõiki tsoonis määratletud filtreerimisparameetreid rakendatakse nüüd ainult liiklusele, mis on adresseeritud tulemüüri töötavale hostile ja ühistranspordiliikluse filtreerimine nõuab poliitikate seadistamist. Kõige märgatavamad muudatused:
- Taustaprogramm, mis võimaldas sellel töötada iptablesi peal, on kuulutatud aegunuks. Iptablesi tugi säilib ka lähitulevikus, kuid seda taustaprogrammi ei arendata.
- Tsoonisisene edastamise režiim on kõigi uute tsoonide jaoks vaikimisi lubatud ja aktiveeritud, võimaldades pakettide vaba liikumist võrguliideste või liiklusallikate vahel ühes tsoonis (avalik, blokk, usaldusväärne, sisemine jne). Vana käitumise tagastamiseks ja pakettide ühes tsoonis edasisaatmise vältimiseks võite kasutada käsku "tulemüür-cmd –permanent –zone public –remove-forward".
- Aadresside tõlkimisega (NAT) seotud reeglid on viidud üle inet-protokolliperekonda (varem lisatud perekondadele „ip” ja „ip6”, mis tõi kaasa vajaduse dubleerida reegleid IPv4 ja IPv6 jaoks). Muudatus võimaldas meil vabaneda duplikaatidest ipseti kasutamisel – kolme ipseti kirjete koopia asemel kasutatakse nüüd ühte.
- Parameetris "--set-target" määratud "default" toiming on nüüd samaväärne "reject", st. vaikimisi blokeeritakse kõik paketid, mis ei kuulu tsoonis määratletud reeglite alla. Erand tehakse ainult ICMP-pakettidele, mis on endiselt lubatud. Vana käitumise taastamiseks avalikult juurdepääsetavale "usaldusväärsele" tsoonile saate kasutada järgmisi reegleid: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — poliitika allowForward —lisa-sisenemine -tsooni avalik tulemüür-cmd —püsiv —poliitika lubaEdasi —väljapääsutsooni lisamine usaldusväärne tulemüür-cmd — uuesti laadimine
- Positiivse prioriteedi poliitikad käivitatakse nüüd vahetult enne reegli "--set-target catch-all" täitmist, st. hetkel enne lõpliku langemise lisamist keelduda või nõustuda reeglitega, sealhulgas tsoonide jaoks, mis kasutavad "--set-target drop|reject|accept".
- ICMP blokeerimine kehtib nüüd ainult praegusele hostile (sisend) adresseeritud sissetulevatele pakettidele ega mõjuta tsoonide vahel ümbersuunatud pakette (edasi).
- Tftp-klienditeenus, mis oli mõeldud TFTP-protokolli ühenduste jälgimiseks, kuid oli kasutuskõlbmatul kujul, on eemaldatud.
- "Otsene" liides on aegunud, võimaldades valmis pakettfiltri reeglite otse sisestamist. Vajadus selle liidese järele kadus pärast ümbersuunatud ja väljaminevate pakettide filtreerimise võimaluse lisamist.
- Lisatud CleanupModulesOnExit parameeter, mis vaikimisi muudetakse väärtuseks "ei". Selle parameetri abil saate juhtida kerneli moodulite mahalaadimist pärast tulemüüri väljalülitamist.
- Sihtsüsteemi (sihtkoha) määramisel on lubatud kasutada ipset-i.
- Lisatud määratlused teenustele WireGuard, Kubernetes ja netbios-ns.
- Rakendatud zsh-i automaatse täitmise reeglid.
- Python 2 tugi on lõpetatud.
- Sõltuvuste loetelu on lühendatud. Tulemüüri toimimiseks on lisaks Linuxi tuumale nüüd nõutavad ainsad pythoni teegid dbus, gobject ja nftables ning paketid ebtables, ipset ja iptables on klassifitseeritud valikulisteks. Pythoni raamatukogude dekoraator ja slip on sõltuvustest eemaldatud.
Allikas: opennet.ru