ProHoster > Блог > warta internet > release Firewalld 1.0

release Firewalld 1.0

A release saka firewall mbosenke kontrol firewalld 1.0 presented, dipun ginakaken ing wangun pambungkus liwat nftables lan iptables saringan paket. Firewalld mlaku minangka proses latar mburi sing ngidini sampeyan ngganti aturan panyaring paket kanthi dinamis liwat D-Bus tanpa kudu ngunggahake aturan panyaring paket utawa ngrusak sambungan sing diadegake. Proyek iki wis digunakake ing akeh distribusi Linux, kalebu RHEL 7+, Fedora 18+ lan SUSE/openSUSE 15+. Kode firewalld ditulis ing Python lan dilisensi ing lisensi GPLv2.

Kanggo ngatur firewall, sarana firewall-cmd digunakake, sing, nalika nggawe aturan, ora adhedhasar alamat IP, antarmuka jaringan lan nomer port, nanging ing jeneng layanan (contone, kanggo mbukak akses menyang SSH sampeyan kudu mbukak "firewall-cmd -add -service = ssh", kanggo nutup SSH - "firewall-cmd -remove -service = ssh"). Kanggo ngganti konfigurasi firewall, firewall-config (GTK) antarmuka grafis lan firewall-applet (Qt) applet uga bisa digunakake. Dhukungan kanggo manajemen firewall liwat D-BUS API firewalld kasedhiya ing proyek kayata NetworkManager, libvirt, podman, docker lan fail2ban.

Owah-owahan sing signifikan ing nomer versi digandhengake karo owah-owahan sing ngilangi kompatibilitas mundur lan ngganti prilaku nggarap zona. Kabeh paramèter nyaring sing ditetepake ing zona saiki mung ditrapake kanggo lalu lintas sing ditujokake menyang host sing firewalld lagi mlaku, lan nyaring lalu lintas transit mbutuhake kabijakan setelan. Owah-owahan sing paling katon:

  • Backend sing ngidini bisa digunakake ing ndhuwur iptables wis diumumake lungse. Dhukungan kanggo iptables bakal dijaga ing mangsa ngarep, nanging backend iki ora bakal dikembangake.
  • Mode penerusan intra-zona diaktifake lan diaktifake kanthi gawan kanggo kabeh zona anyar, ngidini gerakan gratis paket antarane antarmuka jaringan utawa sumber lalu lintas ing siji zona (umum, blok, dipercaya, internal, lsp.). Kanggo ngasilake prilaku lawas lan nyegah paket supaya ora diterusake ing sak zona, sampeyan bisa nggunakake printah "firewall-cmd -permanent -zone public -remove-forward".
  • Aturan sing ana gandhengane karo terjemahan alamat (NAT) wis dipindhah menyang kulawarga protokol "inet" (sadurunge ditambahake menyang kulawarga "ip" lan "ip6", sing ndadékaké kudu duplikat aturan kanggo IPv4 lan IPv6). Owah-owahan kasebut ngidini kita nyingkirake duplikat nalika nggunakake ipset - tinimbang telung salinan entri ipset, siji saiki digunakake.
  • Tumindak "standar" sing ditemtokake ing parameter "--set-target" saiki padha karo "nolak", yaiku. kabeh paket sing ora tiba ing aturan ditetepake ing zona bakal diblokir minangka standar. Pangecualian digawe mung kanggo paket ICMP, sing isih diijini liwat. Kanggo ngasilake prilaku lawas kanggo zona "dipercaya" sing bisa diakses umum, sampeyan bisa nggunakake aturan ing ngisor iki: firewall-cmd —permanen —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACEPT firewall-cmd —permanent — policy allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —reload
  • Kabijakan prioritas positif saiki ditindakake sadurunge aturan "--set-target catch-all" dieksekusi, yaiku. ing wayahe sadurunge nambah tepak pungkasan, nolak utawa nampa aturan, kalebu kanggo zona sing nggunakake "-set-target drop|tolak|nampa".
  • Pamblokiran ICMP saiki mung ditrapake kanggo paket mlebu sing ditujokake menyang host saiki (input) lan ora mengaruhi paket sing dialihake ing antarane zona (maju).
  • Layanan tftp-klien, dirancang kanggo trek sambungan kanggo protokol TFTP, nanging ana ing wangun ora bisa digunakake, wis dibusak.
  • Antarmuka "langsung" wis ora digunakake, ngidini aturan panyaring paket sing wis siap dilebokake langsung. Kebutuhan antarmuka iki ilang sawise nambahake kemampuan kanggo nyaring paket sing dialihake lan metu.
  • Parameter CleanupModulesOnExit ditambahake, sing diganti dadi "ora" minangka standar. Nggunakake parameter iki, sampeyan bisa ngontrol unloading modul kernel sawise firewalld mati.
  • Diijini nggunakake ipset nalika nemtokake sistem target (tujuan).
  • Définisi tambahan kanggo layanan WireGuard, Kubernetes lan netbios-ns.
  • Aturan otomatis rampung kanggo zsh.
  • Dhukungan Python 2 wis mandheg.
  • Dhaptar dependensi wis disingkat. Kanggo firewalld bisa digunakake, saliyane kernel Linux, mung perpustakaan python dbus, gobject lan nftables saiki dibutuhake, lan paket ebtables, ipset lan iptables diklasifikasikake minangka opsional. Dekorator perpustakaan python lan slip wis dibusak saka dependensi.

Source: opennet.ru

Add a comment