È stato rilasciato il firewall a controllo dinamico firewalld 2.4.0, implementato sotto forma di wrapper sui filtri dei pacchetti nftables e iptables. Firewalld viene eseguito come processo in background che consente di modificare dinamicamente le regole del filtro dei pacchetti tramite D-Bus senza dover ricaricare le regole del filtro dei pacchetti o interrompere le connessioni stabilite. Il progetto è già utilizzato in molte distribuzioni Linux, tra cui RHEL 7+, Fedora 18+ e SUSE/openSUSE 15+. Il codice firewalld è scritto in Python ed è concesso in licenza con la licenza GPLv2.
Per gestire il firewall viene utilizzata l'utilità firewall-cmd, che non si basa su Indirizzi IP, interfacce di rete e numeri di porta, nonché nomi di servizi (ad esempio, per aprire l'accesso SSH, eseguire "firewall-cmd --add --service=ssh"; per chiudere SSH, eseguire "firewall-cmd --remove --service=ssh"). L'interfaccia grafica firewall-config (GTK) e l'applet firewall (Qt) possono essere utilizzate anche per modificare la configurazione del firewall. Il supporto per la gestione del firewall tramite l'API D-BUS di firewalld è disponibile in progetti come NetworkManager, libvirt, podman, docker e fail2ban.
Modifiche principali:
- È stato aggiunto un set di regole "gateway", che copre le funzionalità di un tipico router domestico (inclusi NAT, gestori di conntrack e reindirizzamento del traffico interzona). Un esempio di configurazione di un gateway con interfacce di rete interne ed esterne utilizzando il set di regole "gateway": firewall-cmd --permanent --zone internal --add-interface eth0 firewall-cmd --permanent --zone external --add-interface eth1 firewall-cmd --permanent --policy-set gateway --remove-disable firewall-cmd --reload
- È stato implementato un flag "disable" che può essere utilizzato nelle impostazioni XML, nell'utilità della riga di comando o tramite DBus per disabilitare singole regole e set di policy.
- La dimensione massima dei nomi delle regole è stata aumentata da 17 a 128 caratteri.
- Aggiunto il servizio gitea per la piattaforma di sviluppo collaborativo con lo stesso nome (porta TCP 3000).
- Aggiunto il servizio syslog-ng per il sistema di registrazione con lo stesso nome (porte 514, 601 e 6514).
- Aggiunto il servizio proxy-http per proxy HTTP/HTTPS, come Squid (porta TCP 3128).
- Aggiunto il servizio socks per proxyserver con l'implementazione del protocollo SOCKS (porta TCP 1080).
Fonte: opennet.ru
