Útgáfa af kvikstýrðum eldvegg firewalld 1.0 er kynnt, útfærð í formi umbúðir yfir nftables og iptables pakkasíur. Firewalld keyrir sem bakgrunnsferli sem gerir þér kleift að breyta pakkasíureglum á virkan hátt í gegnum D-Bus án þess að þurfa að endurhlaða pakkasíureglunum eða rjúfa staðfestar tengingar. Verkefnið er nú þegar notað í mörgum Linux dreifingum, þar á meðal RHEL 7+, Fedora 18+ og SUSE/openSUSE 15+. Eldveggskóðinn er skrifaður í Python og er með leyfi samkvæmt GPLv2 leyfinu.
Til að stjórna eldveggnum er notast við eldvegg-cmd tólið sem, þegar reglur eru búnar til, byggir ekki á IP tölum, netviðmótum og gáttanúmerum, heldur á heitum þjónustu (td til að opna aðgang að SSH þarf að keyrðu „firewall-cmd —add —service= ssh“, til að loka SSH – „firewall-cmd –remove –service=ssh“). Til að breyta uppsetningu eldveggs er einnig hægt að nota eldveggsstillingu (GTK) grafíska viðmótið og eldveggsforrit (Qt) smáforrit. Stuðningur við stjórnun eldveggs í gegnum D-BUS API eldvegg er fáanlegur í verkefnum eins og NetworkManager, libvirt, podman, docker og fail2ban.
Veruleg breyting á útgáfunúmeri tengist breytingum sem brjóta afturábak eindrægni og breyta hegðun þess að vinna með svæði. Allar síunarfæribreytur sem eru skilgreindar á svæðinu eru nú aðeins notaðar á umferð sem beint er til hýsilsins sem eldveggurinn er í gangi á og síun flutningaumferðar krefst þess að reglur séu settar. Mest áberandi breytingarnar:
- Bakendinn sem gerði það kleift að vinna ofan á iptables hefur verið lýst úrelt. Stuðningur við iptables verður viðhaldið í fyrirsjáanlega framtíð, en þessi bakendi verður ekki þróaður.
- Framsendingarstillingin innan svæðis er virkjuð og virkjuð sjálfgefið fyrir öll ný svæði, sem gerir kleift að flytja pakka á milli netviðmóta eða umferðargjafa innan eins svæðis (opinbert, blokkað, traust, innra osfrv.). Til að skila gömlu hegðuninni og koma í veg fyrir að pakkar séu framsendir innan eins svæðis geturðu notað skipunina „firewall-cmd –permanent –zone public –remove-forward“.
- Reglur sem tengjast heimilisfangsþýðingu (NAT) hafa verið færðar í „inet“ samskiptareglur (áður bætt við „ip“ og „ip6“ fjölskyldurnar, sem leiddi til þess að afrita þurfti reglur fyrir IPv4 og IPv6). Breytingin gerði okkur kleift að losa okkur við afrit við notkun ipset - í stað þriggja afrita af ipset færslum er nú notað eitt.
- „Default“ aðgerðin sem tilgreind er í „--set-target“ færibreytunni jafngildir nú „reject“, þ.e. allir pakkar sem falla ekki undir reglurnar sem skilgreindar eru á svæðinu verða sjálfgefið læstir. Undantekning er aðeins gerð fyrir ICMP pakka, sem enn er hleypt í gegn. Til að skila gömlu hegðuninni fyrir almennt aðgengilega „traust“ svæði geturðu notað eftirfarandi reglur: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target SAMÞYKKTA eldvegg-cmd —varanleg — policy allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —endurhlaða
- Jákvæðar forgangsstefnur eru nú framkvæmdar strax áður en „--set-target catch-all“ reglan er framkvæmd, þ.e. í augnablikinu áður en síðasta fallinu er bætt við, hafna eða samþykkja reglur, þar á meðal fyrir svæði sem nota "--set-target drop|reject|accept".
- ICMP lokun á nú aðeins við um komandi pakka sem eru stílaðir á núverandi hýsil (inntak) og hefur ekki áhrif á pakka sem vísað er á milli svæða (áfram).
- tftp-viðskiptavinaþjónustan, hönnuð til að rekja tengingar fyrir TFTP samskiptareglur, en var á ónothæfu formi, hefur verið fjarlægð.
- „Beina“ viðmótið hefur verið úrelt, sem gerir kleift að setja tilbúnar pakkasíureglur beint inn. Þörfin fyrir þetta viðmót hvarf eftir að bætt var við hæfileikanum til að sía endurbeina og senda pakka.
- Bætt við CleanupModulesOnExit færibreytu, sem er sjálfgefið breytt í "nei". Með því að nota þessa færibreytu geturðu stjórnað affermingu kjarnaeininga eftir að eldveggurinn slokknar.
- Leyfilegt að nota ipset þegar markmiðskerfið (áfangastaður) er ákvarðað.
- Bætt við skilgreiningum fyrir WireGuard, Kubernetes og netbios-ns þjónustu.
- Innleiddar reglur um sjálfvirka útfyllingu fyrir zsh.
- Python 2 stuðningur hefur verið hætt.
- Listinn yfir ósjálfstæði hefur verið styttur. Til að eldveggurinn virki, auk Linux kjarnans, þarf nú einu python bókasöfnunum dbus, gobject og nftables, og ebtables, ipset og iptables pakkarnir eru flokkaðir sem valfrjálsir. Python bókasöfnin skreytingamaður og miði hefur verið fjarlægður úr ósjálfstæði.
Heimild: opennet.ru