ProHoster > Blog > naidheachdan eadar-lìn > Sgaoileadh Firewalld 1.0

Sgaoileadh Firewalld 1.0

Tha foillseachadh den bhalla-teine ​​​​fo smachd fiùghantach 1.0 air a thaisbeanadh, air a chuir an gnìomh ann an cruth còmhdach thairis air na sìoltachain pacaid nftables agus iptables. Bidh Firewalld a’ ruith mar phròiseas cùl-fhiosrachaidh a leigeas leat riaghailtean sìoltachain pacaid atharrachadh gu dinamach tro D-Bus gun a bhith agad ri riaghailtean sìoltachain pacaid ath-luchdachadh no a bhith a’ briseadh cheanglaichean stèidhichte. Tha am pròiseact air a chleachdadh mu thràth ann an iomadh sgaoilidhean Linux, a’ gabhail a-steach RHEL 7+, Fedora 18+ agus SUSE/openSUSE 15+. Tha an còd firewalld sgrìobhte ann am Python agus tha e ceadaichte fo chead GPLv2.

Gus am balla-teine ​​​​a riaghladh, thathas a ’cleachdadh goireas balla-teine ​​​​-cmd, a tha, nuair a bhios tu a’ cruthachadh riaghailtean, stèidhichte chan ann air seòlaidhean IP, eadar-aghaidh lìonra agus àireamhan puirt, ach air ainmean sheirbheisean (mar eisimpleir, gus ruigsinneachd fhosgladh gu SSH feumaidh tu. ruith “firewall-cmd —add —service= ssh”, gus SSH a dhùnadh – “firewall-cmd –remove –service=ssh”). Gus rèiteachadh a’ bhalla-teine ​​​​atharrachadh, faodar an eadar-aghaidh grafaigeach firewall-config (GTK) agus an applet balla-teine ​​​​(Qt) a chleachdadh cuideachd. Tha taic airson riaghladh balla-teine ​​​​tro bhalla-teine ​​​​D-BUS API ri fhaighinn ann am pròiseactan leithid NetworkManager, libvirt, podman, docker agus fail2ban.

Tha atharrachadh mòr ann an àireamh an tionndaidh co-cheangailte ri atharrachaidhean a tha a 'briseadh co-fhreagarrachd air ais agus ag atharrachadh giùlan a bhith ag obair le sònaichean. Tha a h-uile paramadair sìolaidh a tha air a mhìneachadh san raon a-nis air a chuir an sàs a-mhàin air trafaic a tha air a chuir chun òstair air a bheil balla-teine ​​​​a ’ruith, agus feumaidh trafaic sìolaidh a bhith a’ suidheachadh phoileasaidhean. Na h-atharrachaidhean as follaisiche:

  • Chaidh an deireadh-sheachdain a leig leis a bhith ag obair air mullach iptables ainmeachadh gun chleachdadh. Bithear a’ cumail taic ri iptables san àm ri teachd, ach cha tèid an cùl-taic seo a leasachadh.
  • Tha am modh air adhart taobh a-staigh sòn air a chomasachadh agus air a ghnìomhachadh gu bunaiteach airson a h-uile sòn ùr, a’ ceadachadh gluasad pacaidean an-asgaidh eadar eadar-aghaidh lìonra no stòran trafaic taobh a-staigh aon sòn (poblach, bloc, earbsach, a-staigh, msaa). Gus an seann ghiùlan a thilleadh agus casg a chuir air pacaidean bho bhith air an cur air adhart taobh a-staigh aon sòn, faodaidh tu an àithne “firewall-cmd –permanent –zone public –remove-forward” a chleachdadh.
  • Chaidh riaghailtean co-cheangailte ri eadar-theangachadh seòlaidhean (NAT) a ghluasad chun teaghlach protocol “inet” (a chaidh a chur ris na teaghlaichean “ip” agus “ip6” roimhe seo, a lean gu feum air riaghailtean dùblachadh airson IPv4 agus IPv6). Leig an t-atharrachadh leinn faighinn cuidhteas dùblaidhean nuair a bha sinn a’ cleachdadh ipset - an àite trì leth-bhreacan de dh’ inntrigidhean ipset, tha aon a-nis air a chleachdadh.
  • Tha an gnìomh “bunaiteach” a chaidh a shònrachadh sa pharameter “--set-target” a-nis co-ionann ri “diùltadh”, i.e. thèid a h-uile pacaid nach eil a’ tighinn fo na riaghailtean a tha air am mìneachadh sa chrios a bhacadh gu bunaiteach. Tha eisgeachd air a dhèanamh a-mhàin airson pacaidean ICMP, a tha fhathast ceadaichte troimhe. Gus an seann ghiùlan a thilleadh airson an raon “earbsach” a tha ruigsinneach don phoball, faodaidh tu na riaghailtean a leanas a chleachdadh: firewall-cmd —maireannach — cead poileasaidh ùrAir adhart balla-teine-cmd —maireannach — cead poileasaidhAir adhart — suidhich targaid ACCEPT firewall-cmd —maireannach — cead poileasaidh Air adhart - cuir a-steach -zone balla-teine ​​​​poblach-cmd - maireannach - cead poileasaidh Air adhart - cuir-a-mach-sòn earbsach balla-teine ​​​​-cmd - ath-luchdachadh
  • Tha poileasaidhean prìomhachais adhartach a-nis air an cur an gnìomh dìreach mus tèid an riaghailt “-set-target catch-all” a chuir an gnìomh, i.e. an-dràsta mus cuir thu an tuiteam mu dheireadh, diùlt no gabh ri riaghailtean, a’ toirt a-steach sònaichean a bhios a’ cleachdadh “-set-target drop | diùltadh | gabhail ”.
  • Chan eil bacadh ICMP a-nis a’ buntainn ach ri pacaidean a tha a’ tighinn a-steach air an seòladh chun an aoigh gnàthach (cuir a-steach) agus chan eil e a’ toirt buaidh air pacaidean air an ath-stiùireadh eadar sònaichean (air adhart).
  • Chaidh an t-seirbheis tftp-client, a chaidh a dhealbhadh gus sùil a chumail air ceanglaichean airson protocol TFTP, ach a bha ann an cruth nach gabh a chleachdadh, a thoirt air falbh.
  • Cha deach an eadar-aghaidh “dìreach” a mholadh, a’ ceadachadh riaghailtean sìoltachain pacaid deiseil a chuir a-steach gu dìreach. Chaidh an fheum air an eadar-aghaidh seo à bith às deidh dha comas sìoltachadh pacaidean ath-stiùiridh agus a-mach a shìoladh.
  • Chaidh paramadair CleanupModulesOnExit a chur ris, a thèid atharrachadh gu “chan eil” gu bunaiteach. A’ cleachdadh a’ pharamadair seo, faodaidh tu smachd a chumail air luchdachadh sìos mhodalan kernel às deidh balla-teine ​​​​a dhùnadh sìos.
  • Ceadaichte ipset a chleachdadh nuair a thathar a’ dearbhadh an t-siostam targaid (ceann-uidhe).
  • Mìneachaidhean a bharrachd airson seirbheisean WireGuard, Kubernetes agus netbios-ns.
  • Riaghailtean fèin-chrìochnachaidh air an cur an gnìomh airson zsh.
  • Tha taic Python 2 air a stad.
  • Tha an liosta de eisimeileachd air a ghiorrachadh. Airson firewalld a bhith ag obair, a bharrachd air an kernel Linux, tha feum air na h-aon leabharlannan python dbus, gobject agus nftables a-nis, agus tha na pasganan ebtables, ipset agus iptables air an seòrsachadh mar roghainneil. Chaidh sgeadachadh agus bruthach leabharlann python a thoirt air falbh bho na h-eisimeileachd.

Source: fosgailtenet.ru

Cuir beachd ann