방화벽 1.0 릴리스

nftables 및 iptables 패킷 필터에 대한 래퍼 형태로 구현된 동적으로 제어되는 방화벽 Firewalld 1.0의 릴리스가 제공됩니다. Firewalld는 패킷 필터 규칙을 다시 로드하거나 설정된 연결을 끊지 않고도 D-Bus를 통해 패킷 필터 규칙을 동적으로 변경할 수 있는 백그라운드 프로세스로 실행됩니다. 이 프로젝트는 이미 RHEL 7+, Fedora 18+ 및 SUSE/openSUSE 15+를 포함한 많은 Linux 배포판에서 사용되고 있습니다. Firewalld 코드는 Python으로 작성되었으며 GPLv2 라이선스에 따라 라이선스가 부여됩니다.

방화벽을 관리하려면 규칙을 생성할 때 IP 주소, 네트워크 인터페이스 및 포트 번호가 아닌 서비스 이름을 기반으로 하는 Firewall-cmd 유틸리티가 사용됩니다(예: SSH에 대한 액세스를 열려면 다음이 필요함). "firewall-cmd —add —service= ssh"를 실행하여 SSH를 닫습니다(“firewall-cmd –remove –service=ssh”). 방화벽 구성을 변경하려면 방화벽 구성(GTK) 그래픽 인터페이스와 방화벽 애플릿(Qt) 애플릿을 사용할 수도 있습니다. D-BUS API 방화벽을 통한 방화벽 관리 지원은 NetworkManager, libvirt, podman, docker 및 fall2ban과 같은 프로젝트에서 사용할 수 있습니다.

버전 번호의 중요한 변경 사항은 이전 버전과의 호환성을 깨뜨리고 영역 작업 동작을 변경하는 변경 사항과 관련이 있습니다. 영역에 정의된 모든 필터링 매개변수는 이제 방화벽이 실행 중인 호스트로 향하는 트래픽에만 적용되며 전송 트래픽을 필터링하려면 정책을 설정해야 합니다. 가장 눈에 띄는 변화는 다음과 같습니다.

• iptables 위에서 작동하도록 허용한 백엔드는 더 이상 사용되지 않는 것으로 선언되었습니다. iptables에 대한 지원은 가까운 미래에도 유지될 예정이지만 이 백엔드는 개발되지 않습니다.
• 영역 내 전달 모드는 모든 새로운 영역에 대해 기본적으로 활성화되어 네트워크 인터페이스 또는 한 영역(공용, 블록, 신뢰할 수 있는, 내부 등) 내의 트래픽 소스 간에 패킷의 자유로운 이동을 허용합니다. 이전 동작을 되돌리고 패킷이 한 영역 내에서 전달되는 것을 방지하려면 "firewall-cmd –permanent –zone public –remove-forward" 명령을 사용할 수 있습니다.
• 주소 변환(NAT)과 관련된 규칙은 "inet" 프로토콜 계열로 이동되었습니다(이전에는 "ip" 및 "ip6" 계열에 추가되어 IPv4 및 IPv6에 대한 규칙을 복제해야 했습니다). 이 변경을 통해 ipset을 사용할 때 중복 항목을 제거할 수 있었습니다. 이제 ipset 항목의 복사본 세 개 대신 하나가 사용됩니다.
• "--set-target" 매개변수에 지정된 "기본" 작업은 이제 "거부"와 동일합니다. 해당 영역에 정의된 규칙에 속하지 않는 모든 패킷은 기본적으로 차단됩니다. 여전히 통과가 허용되는 ICMP 패킷에 대해서만 예외가 발생합니다. 공개적으로 액세스할 수 있는 "신뢰할 수 있는" 영역에 대한 이전 동작을 반환하려면 다음 규칙을 사용할 수 있습니다. 정책 허용포워드 —추가 수신 -영역 공용 방화벽-cmd —영구 —정책 허용포워드 —추가 송신 영역 신뢰할 수 있는 방화벽-cmd —다시 로드
• 이제 "--set-target catch-all" 규칙이 실행되기 직전에 긍정적인 우선순위 정책이 실행됩니다. 최종 드롭을 추가하기 전에 "--set-target drop|reject|accept"를 사용하는 영역을 포함하여 규칙을 거부하거나 수락합니다.
• 이제 ICMP 차단은 현재 호스트(입력)로 주소가 지정된 수신 패킷에만 적용되며 영역 간에 리디렉션되는(전달) 패킷에는 영향을 주지 않습니다.
• TFTP 프로토콜에 대한 연결을 추적하도록 설계되었지만 사용할 수 없는 형태였던 tftp-client 서비스가 제거되었습니다.
• "직접" 인터페이스는 더 이상 사용되지 않으며 이미 만들어진 패킷 필터 규칙을 직접 삽입할 수 있습니다. 리디렉션된 패킷과 나가는 패킷을 필터링하는 기능을 추가한 후에는 이 인터페이스에 대한 필요성이 사라졌습니다.
• 기본적으로 "no"로 변경되는 CleanupModulesOnExit 매개변수가 추가되었습니다. 이 매개변수를 사용하면 방화벽이 종료된 후 커널 모듈의 언로드를 제어할 수 있습니다.
• 대상 시스템(대상)을 결정할 때 ipset을 사용할 수 있도록 허용합니다.
• WireGuard, Kubernetes 및 netbios-ns 서비스에 대한 정의가 추가되었습니다.
• zsh에 대한 자동 완성 규칙을 구현했습니다.
• Python 2 지원이 중단되었습니다.
• 종속성 목록이 단축되었습니다. 방화벽이 작동하려면 Linux 커널 외에도 이제 유일한 Python 라이브러리 dbus, gobject 및 nftables가 필요하며 ebtables, ipset 및 iptables 패키지는 선택 사항으로 분류됩니다. Python 라이브러리 데코레이터 및 슬립이 종속성에서 제거되었습니다.

출처 : opennet.ru