La version du pare-feu à contrôle dynamique firewalld 2.4.0, implémenté sous la forme d'un wrapper sur les filtres de paquets nftables et iptables, a été publiée. Firewalld s'exécute comme un processus en arrière-plan qui vous permet de modifier dynamiquement les règles de filtrage de paquets via D-Bus sans avoir à recharger les règles de filtrage de paquets ni à rompre les connexions établies. Le projet est déjà utilisé dans de nombreuses distributions Linux, notamment RHEL 7+, Fedora 18+ et SUSE/openSUSE 15+. Le code firewalld est écrit en Python et est sous licence GPLv2.
Pour gérer le pare-feu, on utilise l'utilitaire pare-feu-cmd qui, lors de la création de règles, n'est pas basé sur les adresses IP, les interfaces réseau et les numéros de port, mais sur les noms de services (par exemple, pour ouvrir l'accès à SSH, vous devez exécutez « firewall-cmd —add —service= ssh », pour fermer SSH – « firewall-cmd –remove –service=ssh »). Pour modifier la configuration du pare-feu, l'interface graphique firewall-config (GTK) et l'applet firewall-applet (Qt) peuvent également être utilisées. La prise en charge de la gestion du pare-feu via le pare-feu API D-BUS est disponible dans des projets tels que NetworkManager, libvirt, podman, docker et fail2ban.
Changements clés :
- Un ensemble de règles de passerelle a été ajouté, couvrant les fonctionnalités d'un routeur domestique standard (y compris la NAT, la gestion des connexions et la redirection du trafic inter-zones). Voici un exemple de configuration d'une passerelle avec des interfaces réseau internes et externes à l'aide de cet ensemble de règles : `firewall-cmd --permanent --zone internal --add-interface eth0` `firewall-cmd --permanent --zone external --add-interface eth1` `firewall-cmd --permanent --policy-set gateway --remove-disable` `firewall-cmd --reload`
- Un indicateur « désactivation » a été implémenté et peut être utilisé dans les paramètres XML, l’utilitaire de ligne de commande ou via DBus pour désactiver des règles et des ensembles de politiques individuels.
- La taille maximale des noms de règles a été augmentée de 17 à 128 caractères.
- Ajout du service gitea pour la plateforme de développement collaboratif du même nom (port TCP 3000).
- Ajout du service syslog-ng pour le système de journalisation du même nom (ports 514, 601 et 6514).
- Ajout d'un service proxy-http pour les proxys HTTP/HTTPS, tels que Squid (port TCP 3128).
- Ajout d'un service socks pour les serveurs proxy implémentant le protocole SOCKS (port TCP 1080).
Source: opennet.ru
