Yon lage nan firewalld firewalld 1.0 ki kontwole dinamik, aplike nan fòm lan nan yon anbalaj sou filtè pake nftables ak iptables yo. Firewalld kouri kòm yon pwosesis background ki pèmèt ou chanje dinamik règ filtre pake atravè D-Bus san yo pa oblije rechaje règ yo filtre pake oswa kraze koneksyon etabli. Pwojè a deja itilize nan anpil distribisyon Linux, tankou RHEL 7+, Fedora 18+ ak SUSE/openSUSE 15+. Kòd firewalld ekri nan Python epi li gen lisans anba lisans GPLv2.
Pou jere firewall la, yo itilize sèvis piblik firewall-cmd, ki, lè w ap kreye règ, baze pa sou adrès IP, koòdone rezo ak nimewo pò, men sou non sèvis yo (pa egzanp, pou louvri aksè a SSH, ou bezwen. pou egzekite "firewall-cmd -add -service = ssh", pou fèmen SSH - "firewall-cmd --remove --service=ssh"). Koòdone grafik firewall-config (GTK) ak applet firewall-applet (Qt) kapab tou itilize pou chanje konfigirasyon firewall la. Sipò pou jesyon firewall atravè D-BUS API firewalld disponib nan pwojè tankou NetworkManager, libvirt, podman, docker, ak fail2ban.
Yon chanjman enpòtan nan nimewo vèsyon an asosye ak chanjman ki kraze konpatibilite bak epi chanje konpòtman an nan travay ak zòn yo. Tout paramèt filtraj ki defini nan zòn nan kounye a aplike sèlman nan trafik ki adrese lame a sou ki firewalld ap kouri, epi filtraj trafik transpò a mande pou mete règleman yo. Chanjman ki pi remakab yo:
- Backend ki pèmèt li travay sou tèt iptables yo te deklare demode. Sipò pou iptables ap kenbe pou pwochen prévisible, men backend sa a p ap devlope.
- Mòd transfè andedan-zòn nan aktive ak aktive pa default pou tout nouvo zòn, sa ki pèmèt gratis mouvman pakè ant koòdone rezo oswa sous trafik nan yon zòn (piblik, blòk, fè konfyans, entèn, elatriye). Pou retounen ansyen konpòtman an epi anpeche pakè yo te voye nan yon zòn, ou ka itilize lòd "firewall-cmd -permanent -zone public -remove-forward".
- Règ ki gen rapò ak tradiksyon adrès (NAT) yo te deplase nan fanmi pwotokòl "inet" (deja te ajoute nan fanmi yo "ip" ak "ip6", ki te mennen nan bezwen an kopi règ pou IPv4 ak IPv6). Chanjman an te pèmèt nou debarase li de doublons lè w ap itilize ipset - olye de twa kopi ipset entrées, yonn ki itilize koulye a.
- Aksyon "default" espesifye nan paramèt "--set-target" kounye a ekivalan a "rejte", i.e. tout pake ki pa tonbe anba règ yo defini nan zòn nan pral bloke pa default. Yo fè yon eksepsyon sèlman pou pake ICMP, ki toujou gen dwa pase. Pou retounen ansyen konpòtman an pou zòn "fè konfyans" aksesib piblik la, ou ka itilize règ sa yo: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — politik allowForward —add-ingress-zone public firewall-cmd —pèmanan —politik allowForward —add-egress-zone trusted firewall-cmd —reload
- Règ priyorite pozitif yo kounye a egzekite imedyatman anvan règ la "--set-target catch-all" egzekite, i.e. nan moman sa a anvan ou ajoute gout final la, rejte oswa aksepte règ, enkli pou zòn ki itilize "--set-target drop|reject|aksepte".
- Bloke ICMP kounye a aplike sèlman nan pake fèk ap rantre adrese nan lame aktyèl la (antre) epi li pa afekte pake ki redireksyon ant zòn (pou pi devan).
- Yo retire sèvis tftp-kliyan an, ki fèt pou swiv koneksyon pou pwotokòl TFTP la, men li te nan yon fòm ki pa ka itilize.
- Koòdone "dirèk" la te demode, sa ki pèmèt règ filtre pake ki pare yo dwe dirèkteman antre. Bezwen pou koòdone sa a te disparèt apre li te ajoute kapasite pou filtre pake redireksyon ak sòtan.
- Te ajoute CleanupModulesOnExit paramèt, ki chanje an "non" pa default. Sèvi ak paramèt sa a, ou ka kontwole dechaje modil nwayo apre firewalld fèmen.
- Pèmèt yo sèvi ak ipset lè w ap detèmine sistèm sib la (destinasyon).
- Te ajoute definisyon pou sèvis WireGuard, Kubernetes ak netbios-ns.
- Aplike règ otokonplesyon pou zsh.
- Sipò pou Python 2 sispann.
- Lis depandans yo vin pi kout. Pou firewalld travay, anplis Kernel Linux, sèlman bibliyotèk python dbus, gobject ak nftables yo kounye a obligatwa, epi pakè ebtables, ipset ak iptables yo klase kòm opsyonèl. Dekoratè bibliyotèk python ak glise yo te retire nan depandans yo.
Sous: opennet.ru