מהדורת Firewall 1.0

מוצגת גרסה של חומת האש 1.0 הנשלטת באופן דינמי, המיושמת בצורה של מעטפת על מסנני מנות nftables ו-iptables. Firewalld פועל כתהליך רקע המאפשר לך לשנות באופן דינמי כללי סינון מנות באמצעות D-Bus מבלי לטעון מחדש את כללי מסנן המנות או לשבור חיבורים שנוצרו. הפרויקט כבר נמצא בשימוש בהפצות לינוקס רבות, כולל RHEL 7+, Fedora 18+ ו-SUSE/openSUSE 15+. קוד חומת האש כתוב ב-Python והוא מורשה תחת רישיון GPLv2.

לניהול חומת האש, נעשה שימוש בכלי השירות Firewall-cmd, אשר, בעת יצירת כללים, מבוסס לא על כתובות IP, ממשקי רשת ומספרי יציאות, אלא על שמות השירותים (לדוגמה, כדי לפתוח גישה ל-SSH אתה צריך הפעל את "firewall-cmd —add —service= ssh", כדי לסגור את SSH - "firewall-cmd -remove -service=ssh"). כדי לשנות את תצורת חומת האש, ניתן להשתמש גם בממשק הגרפי של חומת האש (GTK) וביישומון חומת האש (Qt). תמיכה בניהול חומת אש באמצעות חומת האש של D-BUS API זמינה בפרויקטים כגון NetworkManager, libvirt, podman, docker ו-fail2ban.

שינוי משמעותי במספר הגרסה קשור לשינויים השוברים תאימות לאחור ומשנים את התנהגות העבודה עם אזורים. כל פרמטרי הסינון המוגדרים באזור מיושמים כעת רק על תעבורה המופנית למארח שעליו פועלת חומת האש, וסינון תעבורת מעבר דורש הגדרת מדיניות. השינויים הבולטים ביותר:

• הקצה האחורי שאפשר לו לעבוד על גבי iptables הוכרז מיושן. התמיכה ב-iptables תישמר בעתיד הנראה לעין, אך הקצה העורפי הזה לא יפותח.
• מצב העברה תוך-אזורי מופעל ומופעל כברירת מחדל עבור כל האזורים החדשים, ומאפשר תנועה חופשית של מנות בין ממשקי רשת או מקורות תעבורה בתוך אזור אחד (ציבורי, חסום, מהימן, פנימי וכו'). כדי להחזיר את ההתנהגות הישנה ולמנוע העברת מנות בתוך אזור אחד, אתה יכול להשתמש בפקודה "חומת אש-cmd -permanent -zone public -remove-forward".
• כללים הקשורים לתרגום כתובות (NAT) הועברו למשפחת הפרוטוקולים "inet" (נוספו בעבר למשפחות "ip" ו-"ip6", מה שהוביל לצורך לשכפל כללים עבור IPv4 ו- IPv6). השינוי איפשר לנו להיפטר מכפילויות בעת שימוש ב- ipset - במקום שלושה עותקים של ערכי ipset, נעשה כעת שימוש באחד.
• פעולת "ברירת המחדל" המצוינת בפרמטר "--set-target" שווה כעת ל"דחה", כלומר. כל החבילות שאינן נופלות תחת הכללים המוגדרים באזור ייחסמו כברירת מחדל. חריגה מתבצעת רק עבור מנות ICMP, שעדיין מותרות לעבור. כדי להחזיר את ההתנהגות הישנה לאזור "מהימן" הנגיש לציבור, אתה יכול להשתמש בכללים הבאים: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — policy allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —טעינה מחדש
• מדיניות עדיפות חיובית מבוצעת כעת מיד לפני ביצוע כלל "--set-target catch-all", כלומר. ברגע שלפני הוספת הירידה הסופית, דחה או קבל כללים, כולל עבור אזורים המשתמשים ב---set-target drop|reject|accept.
• חסימת ICMP חלה כעת רק על מנות נכנסות הממוענות למארח הנוכחי (קלט) ואינה משפיעה על מנות המופנות בין אזורים (העבר).
• שירות tftp-client, שנועד לעקוב אחר חיבורים עבור פרוטוקול TFTP, אך היה בצורה בלתי שמישה, הוסר.
• הממשק ה"ישיר" הוצא משימוש, מה שמאפשר הוספת כללי סינון מנות מוכנים ישירות. הצורך בממשק זה נעלם לאחר הוספת היכולת לסנן מנות מנותבות ויוצאות.
• נוסף פרמטר CleanupModulesOnExit, אשר שונה ל"לא" כברירת מחדל. באמצעות פרמטר זה, אתה יכול לשלוט על פריקת מודולי הקרנל לאחר כיבוי חומת האש.
• מותר להשתמש ב-ipset בעת קביעת מערכת היעד (יעד).
• נוספו הגדרות עבור שירותי WireGuard, Kubernetes ו-netbios-ns.
• הוטמע כללי השלמה אוטומטית עבור zsh.
• התמיכה ב-Python 2 הופסקה.
• רשימת התלות התקצרה. כדי שחומת אש תעבוד, בנוסף לליבת לינוקס, נדרשות כעת ספריות הפיתון היחידות dbus, gobject ו-nftables, וחבילות ebtables, ipset ו-iptables מסווגות כאופציונליות. מעצב ספריות פיתון והתלוש הוסרו מהתלות.

מקור: OpenNet.ru