In frijlitting fan 'e dynamysk kontroleare firewalld firewalld 1.0 wurdt presintearre, ymplementearre yn' e foarm fan in wrapper oer de nftables en iptables pakketfilters. Firewalld rint as in eftergrûnproses wêrmei jo pakketfilterregels dynamysk kinne feroarje fia D-Bus sûnder de pakketfilterregels opnij te laden of fêstige ferbiningen te brekken. It projekt wurdt al brûkt yn in protte Linux-distribúsjes, ynklusyf RHEL 7+, Fedora 18+ en SUSE/openSUSE 15+. De firewalld-koade is skreaun yn Python en is lisinsje ûnder de GPLv2-lisinsje.
Om de firewall te behearjen, wurdt it firewall-cmd-hulpprogramma brûkt, dat, by it meitsjen fan regels, net basearre is op IP-adressen, netwurkynterfaces en poartenûmers, mar op 'e nammen fan tsjinsten (bygelyks om tagong te iepenjen ta SSH moatte jo útfiere "firewall-cmd -add -service = ssh", om SSH te sluten - "firewall-cmd -remove -service = ssh"). Om de firewall-konfiguraasje te feroarjen, kinne de firewall-config (GTK) grafyske ynterface en de firewall-applet (Qt) applet ek brûkt wurde. Stipe foar firewallbehear fia de D-BUS API firewalld is beskikber yn projekten lykas NetworkManager, libvirt, podman, docker en fail2ban.
In wichtige feroaring yn it ferzjenûmer is ferbûn mei feroarings dy't efterútkompatibiliteit brekke en it gedrach fan wurkjen mei sônes feroarje. Alle filterparameters definieare yn 'e sône wurde no allinich tapast op ferkear dat rjochte is oan de host wêrop firewalld rint, en it filterjen fan transitferkear fereasket it ynstellen fan belied. De meast opfallende feroarings:
- De backend dy't it mooglik makke om boppe op iptables te wurkjen is ferâldere ferklearre. Stipe foar iptables sil wurde behâlden foar de foar te fernimmen takomst, mar dit backend sil net wurde ûntwikkele.
- De intra-zone-forwarding-modus is standert ynskeakele en aktivearre foar alle nije sônes, wêrtroch frije beweging fan pakketten mooglik is tusken netwurkynterfaces of ferkearsboarnen binnen ien sône (iepenbier, blok, fertroud, yntern, ensfh.). Om it âlde gedrach werom te jaan en te foarkommen dat pakketten binnen ien sône trochstjoerd wurde, kinne jo it kommando brûke "firewall-cmd -permanent -zone public -remove-forward".
- Regels yn ferbân mei adres oersetting (NAT) binne ferpleatst nei de "inet" protokol famylje (earder tafoege oan de "ip" en "ip6" famyljes, wat late ta de needsaak om duplicate regels foar IPv4 en IPv6). De wiziging hat ús tastien om duplikaten kwyt te reitsjen by it brûken fan ipset - ynstee fan trije kopyen fan ipset-yngongen, wurdt no ien brûkt.
- De "standert" aksje oantsjutte yn de parameter "--set-target" is no lykweardich oan "ôfwize", d.w.s. alle pakketten dy't net falle ûnder de regels definiearre yn de sône sille wurde blokkearre standert. In útsûndering wurdt makke allinnich foar ICMP pakketten, dy't noch tastien troch. Om it âlde gedrach werom te jaan foar de publyklik tagonklike "fertroude" sône, kinne jo de folgjende regels brûke: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target AKSEPT firewall-cmd —permanent — policy allowForward —add-ingress -zone iepenbiere firewall-cmd —permanint —policy allowForward —add-egress-zone fertroude firewall-cmd —reload
- Posityf prioriteitsbelied wurdt no direkt útfierd foardat de "--set-target catch-all" regel wurdt útfierd, d.w.s. op it stuit foar it tafoegjen fan de lêste drop, regels ôfwize of akseptearje, ynklusyf foar sônes dy't "--set-target drop|reject|acceptearje" brûke.
- ICMP-blokkering jildt no allinich foar ynkommende pakketten dy't rjochte binne oan de aktuele host (ynfier) en hat gjin ynfloed op pakketten dy't omlaat wurde tusken sônes (foarút).
- De tftp-kliïnttsjinst, ûntworpen om ferbiningen foar it TFTP-protokol te folgjen, mar wie yn in net brûkbere foarm, is fuortsmiten.
- De "direkte" ynterface is ôfkard, wêrtroch klear makke pakketfilterregels direkt kinne wurde ynfoege. De needsaak foar dizze ynterface ferdwûn nei it tafoegjen fan de mooglikheid om trochferwizing en útgeande pakketten te filterjen.
- Added CleanupModulesOnExit parameter, dy't standert is feroare yn "nee". Mei dizze parameter kinne jo it lossen fan kernelmodules kontrolearje nei't firewalld ôfsluten is.
- Tastimming om ipset te brûken by it bepalen fan it doelsysteem (bestimming).
- Definysjes tafoege foar WireGuard, Kubernetes en netbios-ns tsjinsten.
- Implementearre regels foar autofolling foar zsh.
- Stipe foar Python 2 is stopset.
- De list mei ôfhinklikens is ynkoarte. Foar firewalld om te wurkjen, neist de Linux kernel, binne no de ienige python-biblioteken dbus, gobject en nftables nedich, en de ebtables, ipset en iptables-pakketten wurde klassifisearre as opsjoneel. De python biblioteken decorator en slip binne fuorthelle út de ôfhinklikens.
Boarne: opennet.ru