ការចេញផ្សាយ Firewalld 1.0

ការចេញផ្សាយនៃជញ្ជាំងភ្លើងជញ្ជាំងភ្លើងដែលគ្រប់គ្រងដោយថាមវន្ត 1.0 ត្រូវបានបង្ហាញ ដែលត្រូវបានអនុវត្តក្នុងទម្រង់ជារុំលើតម្រងកញ្ចប់ព័ត៌មាន nftables និង iptables ។ Firewalld ដំណើរការជាដំណើរការផ្ទៃខាងក្រោយដែលអនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរថាមវន្តច្បាប់តម្រងកញ្ចប់ព័ត៌មានតាមរយៈ D-Bus ដោយមិនចាំបាច់ផ្ទុកច្បាប់តម្រងកញ្ចប់ព័ត៌មានឡើងវិញ ឬបំបែកការតភ្ជាប់ដែលបានបង្កើតឡើង។ គម្រោងនេះត្រូវបានប្រើប្រាស់រួចហើយនៅក្នុងការចែកចាយលីនុចជាច្រើន រួមទាំង RHEL 7+, Fedora 18+ និង SUSE/openSUSE 15+។ កូដជញ្ជាំងភ្លើងត្រូវបានសរសេរជា Python ហើយត្រូវបានផ្តល់អាជ្ញាប័ណ្ណក្រោមអាជ្ញាប័ណ្ណ GPLv2 ។

ដើម្បីគ្រប់គ្រងជញ្ជាំងភ្លើង ឧបករណ៍ប្រើប្រាស់ firewall-cmd ត្រូវបានប្រើ ដែលនៅពេលបង្កើតច្បាប់ មិនមែនផ្អែកលើអាសយដ្ឋាន IP ចំណុចប្រទាក់បណ្តាញ និងលេខច្រកនោះទេ ប៉ុន្តែនៅលើឈ្មោះសេវាកម្ម (ឧទាហរណ៍ ដើម្បីបើកការចូលប្រើ SSH អ្នកត្រូវ ដំណើរការ “firewall-cmd —add —service=ssh” ដើម្បីបិទ SSH – “firewall-cmd –remove –service=ssh”)។ ដើម្បីផ្លាស់ប្តូរការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង ចំណុចប្រទាក់ក្រាហ្វិក Firewall-config (GTK) និងអាប់ភ្លេត Firewall-applet (Qt) ក៏អាចត្រូវបានប្រើផងដែរ។ ការគាំទ្រសម្រាប់ការគ្រប់គ្រងជញ្ជាំងភ្លើងតាមរយៈ D-BUS API firewalld មាននៅក្នុងគម្រោងដូចជា NetworkManager, libvirt, podman, docker និង fail2ban ។

ការផ្លាស់ប្តូរដ៏សំខាន់នៅក្នុងលេខកំណែត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការផ្លាស់ប្តូរដែលបំបែកភាពឆបគ្នាថយក្រោយ និងផ្លាស់ប្តូរឥរិយាបថនៃការធ្វើការជាមួយតំបន់។ ប៉ារ៉ាម៉ែត្រតម្រងទាំងអស់ដែលបានកំណត់នៅក្នុងតំបន់ឥឡូវនេះត្រូវបានអនុវត្តតែចំពោះចរាចរណ៍ដែលបានផ្ញើទៅកាន់ម៉ាស៊ីនដែលជញ្ជាំងភ្លើងកំពុងដំណើរការ ហើយការត្រងចរាចរឆ្លងកាត់តម្រូវឱ្យមានការកំណត់គោលការណ៍។ ការផ្លាស់ប្តូរគួរឱ្យកត់សម្គាល់បំផុត:

• ផ្នែកខាងក្រោយដែលអនុញ្ញាតឱ្យវាដំណើរការនៅលើកំពូលនៃ iptables ត្រូវបានប្រកាសថាលែងប្រើហើយ។ ការ​គាំទ្រ​សម្រាប់ iptables នឹង​ត្រូវ​បាន​រក្សា​ទុក​សម្រាប់​អនាគត​ដែល​អាច​មើល​ឃើញ ប៉ុន្តែ​កម្មវិធី​ខាង​ក្រោយ​នេះ​នឹង​មិន​ត្រូវ​បាន​បង្កើត​ឡើង​ទេ។
• របៀបបញ្ជូនបន្តក្នុងតំបន់ខាងក្នុងត្រូវបានបើក និងដំណើរការតាមលំនាំដើមសម្រាប់តំបន់ថ្មីទាំងអស់ ដែលអនុញ្ញាតឱ្យមានចលនាដោយឥតគិតថ្លៃនៃកញ្ចប់ព័ត៌មានរវាងចំណុចប្រទាក់បណ្តាញ ឬប្រភពចរាចរណ៍នៅក្នុងតំបន់មួយ (សាធារណៈ ប្លុក ជឿទុកចិត្ត ផ្ទៃក្នុង។ល។)។ ដើម្បីត្រឡប់ឥរិយាបថចាស់ និងការពារកញ្ចប់ព័ត៌មានពីការបញ្ជូនបន្តក្នុងតំបន់មួយ អ្នកអាចប្រើពាក្យបញ្ជា “firewall-cmd –permanent –zone public –remove-forward”។
• ច្បាប់ទាក់ទងនឹងការបកប្រែអាសយដ្ឋាន (NAT) ត្រូវបានផ្លាស់ទីទៅគ្រួសារពិធីការ "inet" (ពីមុនត្រូវបានបន្ថែមទៅគ្រួសារ "ip" និង "ip6" ដែលនាំឱ្យមានតម្រូវការក្នុងការចម្លងច្បាប់សម្រាប់ IPv4 និង IPv6)។ ការផ្លាស់ប្តូរនេះបានអនុញ្ញាតឱ្យយើងកម្ចាត់ស្ទួននៅពេលប្រើ ipset - ជំនួសឱ្យការចម្លងចំនួនបីនៃធាតុ ipset ឥឡូវនេះមួយត្រូវបានប្រើ។
• សកម្មភាព "លំនាំដើម" ដែលបានបញ្ជាក់នៅក្នុងប៉ារ៉ាម៉ែត្រ "--set-target" ឥឡូវនេះស្មើនឹង "បដិសេធ", i.e. កញ្ចប់ទាំងអស់ដែលមិនស្ថិតនៅក្រោមច្បាប់ដែលបានកំណត់នៅក្នុងតំបន់នឹងត្រូវបានទប់ស្កាត់តាមលំនាំដើម។ ករណីលើកលែងមួយត្រូវបានធ្វើឡើងសម្រាប់តែកញ្ចប់ ICMP ដែលនៅតែត្រូវបានអនុញ្ញាត។ ដើម្បីត្រឡប់ឥរិយាបថចាស់សម្រាប់តំបន់ "ជឿទុកចិត្ត" ដែលអាចចូលប្រើជាសាធារណៈបាន អ្នកអាចប្រើច្បាប់ខាងក្រោម៖ firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target យល់ព្រម firewall-cmd —permanent — policy allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —ផ្ទុកឡើងវិញ
• គោលនយោបាយអាទិភាពវិជ្ជមានឥឡូវនេះត្រូវបានប្រតិបត្តិភ្លាមៗ មុនពេលច្បាប់ "-set-target catch-all" ត្រូវបានប្រតិបត្តិ ពោលគឺឧ។ នៅពេលនេះ មុនពេលបន្ថែមការធ្លាក់ចុះចុងក្រោយ បដិសេធ ឬទទួលយកច្បាប់ រួមទាំងសម្រាប់តំបន់ដែលប្រើ “--set-target drop|reject|accept”។
• ការទប់ស្កាត់ ICMP ឥឡូវនេះអនុវត្តតែចំពោះកញ្ចប់ព័ត៌មានចូលដែលផ្ញើទៅកាន់ម៉ាស៊ីនបច្ចុប្បន្ន (ការបញ្ចូល) ហើយមិនប៉ះពាល់ដល់កញ្ចប់ព័ត៌មានដែលបានបញ្ជូនបន្តរវាងតំបន់ (ទៅមុខ) ទេ។
• សេវាកម្មអតិថិជន tftp ដែលត្រូវបានរចនាឡើងដើម្បីតាមដានការតភ្ជាប់សម្រាប់ពិធីការ TFTP ប៉ុន្តែស្ថិតក្នុងទម្រង់មិនអាចប្រើប្រាស់បានត្រូវបានដកចេញ។
• ចំណុចប្រទាក់ "ផ្ទាល់" ត្រូវបានបដិសេធ ដែលអនុញ្ញាតឱ្យច្បាប់តម្រងកញ្ចប់ដែលត្រៀមរួចជាស្រេចត្រូវបានបញ្ចូលដោយផ្ទាល់។ តម្រូវការសម្រាប់ចំណុចប្រទាក់នេះបានបាត់បន្ទាប់ពីការបន្ថែមសមត្ថភាពក្នុងការត្រងបញ្ជូនបន្ត និងកញ្ចប់ចេញ។
• បានបន្ថែមប៉ារ៉ាម៉ែត្រ CleanupModulesOnExit ដែលត្រូវបានប្តូរទៅជា "ទេ" តាមលំនាំដើម។ ដោយប្រើប៉ារ៉ាម៉ែត្រនេះ អ្នកអាចគ្រប់គ្រងការមិនផ្ទុកម៉ូឌុលខឺណែល បន្ទាប់ពីជញ្ជាំងភ្លើងបិទ។
• ត្រូវបានអនុញ្ញាតឱ្យប្រើ ipset នៅពេលកំណត់ប្រព័ន្ធគោលដៅ (ទិសដៅ)។
• បានបន្ថែមនិយមន័យសម្រាប់ WireGuard, Kubernetes និងសេវាកម្ម netbios-ns ។
• បានអនុវត្តច្បាប់នៃការបំពេញដោយស្វ័យប្រវត្តិសម្រាប់ zsh ។
• ការគាំទ្រសម្រាប់ Python 2 ត្រូវបានបញ្ឈប់។
• បញ្ជីនៃភាពអាស្រ័យត្រូវបានខ្លី។ ដើម្បីឱ្យជញ្ជាំងភ្លើងដំណើរការ បន្ថែមពីលើខឺណែលលីនុច បណ្ណាល័យ python តែមួយគត់គឺ dbus, gobject និង nftables ឥឡូវនេះត្រូវបានទាមទារ ហើយកញ្ចប់ ebtables, ipset និង iptables ត្រូវបានចាត់ថ្នាក់ជាជម្រើស។ អ្នកតុបតែងបណ្ណាល័យ python និងរអិលត្រូវបានយកចេញពីភាពអាស្រ័យ។

ប្រភព: opennet.ru