Dinamikoki kontrolatutako firewalld 1.0-ren bertsio bat aurkezten da, nftables eta iptables pakete-iragazkien gainean bilgarri moduan inplementatuta. Firewalld-ek atzeko planoko prozesu gisa exekutatzen du, D-Bus bidez pakete-iragazkiaren arauak dinamikoki aldatzeko aukera ematen duena, pakete-iragazkiaren arauak berriro kargatu edo ezarritako konexioak hautsi gabe. Proiektua Linux banaketa askotan erabiltzen da, RHEL 7+, Fedora 18+ eta SUSE/openSUSE 15+ barne. Firewalld kodea Python-en idatzita dago eta GPLv2 lizentziapean dago.
Suebakia kudeatzeko, firewall-cmd utilitatea erabiltzen da, arauak sortzean, ez baita IP helbideetan, sareko interfazeetan eta ataken zenbakietan oinarritzen, baizik eta zerbitzuen izenetan (adibidez, SSHrako sarbidea irekitzeko behar duzu). exekutatu “firewall-cmd —add —service= ssh”, SSH ixteko – “firewall-cmd –remove –service=ssh”). Suebakiaren konfigurazioa aldatzeko, firewall-config (GTK) interfaze grafikoa eta firewall-applet (Qt) applet-a ere erabil daitezke. D-BUS API suebakiaren bidezko suebakiaren kudeaketarako laguntza eskuragarri dago NetworkManager, libvirt, podman, docker eta fail2ban bezalako proiektuetan.
Bertsio-zenbakiaren aldaketa nabarmena atzerako bateragarritasuna hautsi eta zonekin lan egiteko portaera aldatzen duten aldaketekin lotzen da. Eremuan definitutako iragazketa-parametro guztiak suebakia exekutatzen ari den ostalariari zuzendutako trafikoari soilik aplikatzen zaizkio orain, eta garraio-trafikoa iragazteko politikak ezarri behar dira. Aldaketa nabarmenenak:
- iptables-en gainean lan egiteko aukera ematen zuen backend-a zaharkituta geratu da. iptables-en euskarria mantenduko da etorkizun hurbilean, baina backend hau ez da garatuko.
- Zona barruko birbidaltze modua lehenespenez gaituta eta aktibatuta dago zona berri guztietan, eta sareko interfazeen edo trafiko-iturrien artean eremu bateko (publikoa, blokeatua, fidagarria, barnekoa, etab.) aske mugitzea ahalbidetzen du. Portaera zaharra itzultzeko eta paketeak eremu batean bidaltzea saihesteko, "firewall-cmd –permanent –zone public –remove-forward” komandoa erabil dezakezu.
- Helbideen itzulpenarekin (NAT) erlazionatutako arauak “inet” protokolo-familiara eraman dira (aurretik “ip” eta “ip6” familietara gehitu ziren, eta horrek IPv4 eta IPv6rako arauak bikoiztu beharra ekarri zuen). Aldaketak bikoiztuak kentzeko aukera eman digu ipset erabiltzean - ipset sarreren hiru kopia beharrean, bat erabiltzen da orain.
- "--set-target" parametroan zehaztutako "lehenetsitako" ekintza "reject"-ren baliokidea da orain, hau da. Eremuan zehaztutako arauetan sartzen ez diren pakete guztiak lehenespenez blokeatuko dira. Salbuespen bat ICMP paketeetarako bakarrik egiten da, oraindik baimenduta daudenak. Jendaurrean eskuragarri dagoen "konfiantzazko" eremurako portaera zaharra itzultzeko, arau hauek erabil ditzakezu: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ONARTU firewall-cmd —permanent — politika allowForward —add-ingress -zone suebaki publikoa-cmd —permanente —politika allowForward —add-egress-zone fidagarria den suebakia-cmd —birkargatu
- Lehentasun positiboko politikak "--set-target catch-all" araua exekutatu aurretik berehala exekutatzen dira, hau da. Azken tantoa gehitu aurreko momentuan, baztertu edo onartu arauak, baita “--set-target drop|reject|onartu” erabiltzen duten zonetarako ere.
- ICMP blokeatzea uneko ostalariari zuzendutako sarrerako paketeei soilik aplikatzen zaie (sarrera) eta ez die eragiten zonen artean birbideratzen diren paketeei (aurrera).
- Kendu egin da tftp-bezero zerbitzua, TFTP protokolorako konexioak jarraitzeko diseinatua, baina forma erabilezin batean zegoen.
- Interfaze "zuzena" zaharkituta geratu da, eta horretarako prest dauden paketeen iragazki-arauak zuzenean txerta daitezke. Interfaze honen beharra desagertu egin zen birbideratutako eta irteerako paketeak iragazteko gaitasuna gehitu ondoren.
- CleanupModulesOnExit parametroa gehitu da, lehenespenez "ez" gisa aldatzen dena. Parametro hau erabiliz, nukleoko moduluen deskarga kontrola dezakezu firewalld itzali ondoren.
- Helburu-sistema (helmuga) zehaztean ipset erabiltzeko baimena.
- WireGuard, Kubernetes eta netbios-ns zerbitzuetarako definizioak gehitu dira.
- zsh-rako osatze automatikoaren arauak ezarri dira.
- Python 2 laguntza eten egin da.
- Mendekotasunen zerrenda laburtu egin da. Firewalld-ek funtziona dezan, Linux nukleoaz gain, dbus, gobject eta nftables python liburutegi bakarrak behar dira orain, eta ebtables, ipset eta iptables paketeak hautazko gisa sailkatzen dira. Python liburutegien dekoratzailea eta slip-a mendekotasunetatik kendu dira.
Iturria: opennet.ru