È stato pubblicato il rilascio del firewall a controllo dinamico firewalld 1.2, implementato sotto forma di wrapper sui filtri di pacchetti nftables e iptables. Firewalld viene eseguito come processo in background che consente di modificare dinamicamente le regole del filtro dei pacchetti tramite D-Bus senza dover ricaricare le regole del filtro dei pacchetti o interrompere le connessioni stabilite. Il progetto è già utilizzato in molte distribuzioni Linux, tra cui RHEL 7+, Fedora 18+ e SUSE/openSUSE 15+. Il codice firewalld è scritto in Python ed è concesso in licenza con GPLv2.
Per gestire il firewall, viene utilizzata l'utilità firewall-cmd, che, durante la creazione di regole, non si basa su indirizzi IP, interfacce di rete e numeri di porta, ma sui nomi dei servizi (ad esempio, per aprire l'accesso a SSH è necessario eseguire “firewall-cmd —add —service= ssh”, per chiudere SSH – “firewall-cmd –remove –service=ssh”). Per modificare la configurazione del firewall è possibile utilizzare anche l'interfaccia grafica firewall-config (GTK) e l'applet firewall-applet (Qt). Il supporto per la gestione del firewall tramite l'API D-BUS firewalld è disponibile in progetti come NetworkManager, libvirt, podman, docker e fail2ban.
Principali modifiche:
- I servizi snmptls e snmptls-trap sono stati implementati per elaborare l'accesso al protocollo SNMP tramite un canale di comunicazione sicuro.
- È stato implementato un servizio che supporta il protocollo utilizzato nel file system decentralizzato IPFS.
- Servizi aggiunti con supporto per gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly, nonché una versione sicura di k8s controller-plane.
- Aggiunto il parametro "--log-target".
- È stata aggiunta una modalità di avvio failsafe che consente, in caso di problemi con le regole specificate, di ripristinare la configurazione predefinita senza lasciare l'host senza protezione.
- Bash ora supporta il completamento dei comandi per lavorare con le regole.
Fonte: opennet.ru