Rilis firewall firewalld 1.0 yang dikontrol secara dinamis disajikan, diimplementasikan dalam bentuk pembungkus filter paket nftables dan iptables. Firewalld berjalan sebagai proses latar belakang yang memungkinkan Anda mengubah aturan filter paket secara dinamis melalui D-Bus tanpa harus memuat ulang aturan filter paket atau memutus koneksi yang sudah ada. Proyek ini sudah digunakan di banyak distribusi Linux, termasuk RHEL 7+, Fedora 18+ dan SUSE/openSUSE 15+. Kode firewalld ditulis dengan Python dan dilisensikan di bawah lisensi GPLv2.
Untuk mengelola firewall, utilitas firewall-cmd digunakan, yang, saat membuat aturan, tidak didasarkan pada alamat IP, antarmuka jaringan, dan nomor port, tetapi pada nama layanan (misalnya, untuk membuka akses ke SSH, Anda perlu jalankan “firewall-cmd —add —service= ssh”, untuk menutup SSH – “firewall-cmd –remove –service=ssh”). Untuk mengubah konfigurasi firewall, antarmuka grafis firewall-config (GTK) dan applet firewall-applet (Qt) juga dapat digunakan. Dukungan untuk manajemen firewall melalui D-BUS API firewalld tersedia di proyek seperti NetworkManager, libvirt, podman, docker, dan fail2ban.
Perubahan signifikan pada nomor versi dikaitkan dengan perubahan yang mengganggu kompatibilitas ke belakang dan mengubah perilaku bekerja dengan zona. Semua parameter pemfilteran yang ditentukan dalam zona kini hanya diterapkan pada lalu lintas yang ditujukan ke host tempat firewalld berjalan, dan pemfilteran lalu lintas transit memerlukan kebijakan pengaturan. Perubahan yang paling mencolok:
- Backend yang memungkinkannya bekerja di atas iptables telah dinyatakan usang. Dukungan untuk iptables akan dipertahankan di masa mendatang, namun backend ini tidak akan dikembangkan.
- Mode penerusan intra-zona diaktifkan dan diaktifkan secara default untuk semua zona baru, memungkinkan pergerakan bebas paket antara antarmuka jaringan atau sumber lalu lintas dalam satu zona (publik, blok, tepercaya, internal, dll.). Untuk mengembalikan perilaku lama dan mencegah paket diteruskan dalam satu zona, Anda dapat menggunakan perintah “firewall-cmd –permanent –zone public –remove-forward”.
- Aturan yang terkait dengan terjemahan alamat (NAT) telah dipindahkan ke keluarga protokol “inet” (sebelumnya ditambahkan ke keluarga “ip” dan “ip6”, yang menyebabkan perlunya menduplikasi aturan untuk IPv4 dan IPv6). Perubahan tersebut memungkinkan kami menghilangkan duplikat saat menggunakan ipset - alih-alih tiga salinan entri ipset, satu yang sekarang digunakan.
- Tindakan "default" yang ditentukan dalam parameter "--set-target" sekarang setara dengan "tolak", yaitu. semua paket yang tidak termasuk dalam aturan yang ditentukan di zona tersebut akan diblokir secara default. Pengecualian dibuat hanya untuk paket ICMP, yang masih diperbolehkan lewat. Untuk mengembalikan perilaku lama untuk zona “tepercaya” yang dapat diakses publik, Anda dapat menggunakan aturan berikut: firewall-cmd —permanent —new-policy AllowForward firewall-cmd —permanent —policy AllowForward —set-target ACCEPT firewall-cmd —permanent — kebijakanallowForward —add-ingress -zone public firewall-cmd —permanen —kebijakanallowForward —add-egress-zone firewall-cmd tepercaya —muat ulang
- Kebijakan prioritas positif kini dijalankan segera sebelum aturan “--set-target catch-all” dijalankan, yaitu pada saat sebelum menambahkan aturan pelepasan terakhir, tolak atau terima, termasuk untuk zona yang menggunakan “--set-target drop|reject|accept”.
- Pemblokiran ICMP sekarang hanya berlaku untuk paket masuk yang dialamatkan ke host saat ini (input) dan tidak mempengaruhi paket yang dialihkan antar zona (forward).
- Layanan tftp-client, yang dirancang untuk melacak koneksi untuk protokol TFTP, tetapi dalam bentuk yang tidak dapat digunakan, telah dihapus.
- Antarmuka “langsung” sudah tidak digunakan lagi, sehingga aturan filter paket yang sudah jadi dapat langsung dimasukkan. Kebutuhan akan antarmuka ini hilang setelah menambahkan kemampuan untuk memfilter paket yang dialihkan dan keluar.
- Menambahkan parameter CleanupModulesOnExit, yang diubah menjadi "tidak" secara default. Dengan menggunakan parameter ini, Anda dapat mengontrol pembongkaran modul kernel setelah firewalld dimatikan.
- Dibolehkan menggunakan ipset saat menentukan sistem target (tujuan).
- Menambahkan definisi untuk layanan WireGuard, Kubernetes, dan netbios-ns.
- Menerapkan aturan pelengkapan otomatis untuk zsh.
- Dukungan untuk Python 2 telah dibatalkan.
- Daftar ketergantungan telah dipersingkat. Agar firewalld berfungsi, selain kernel Linux, satu-satunya pustaka python dbus, gobject, dan nftables sekarang diperlukan, dan paket ebtables, ipset, dan iptables diklasifikasikan sebagai opsional. Dekorator dan slip perpustakaan python telah dihapus dari dependensi.
Sumber: opennet.ru