फायरवॉल 1.0 रिलीझ

डायनॅमिकली कंट्रोल्ड फायरवॉल फायरवॉल 1.0 चे प्रकाशन सादर केले जाते, जे nftables आणि iptables पॅकेट फिल्टर्सवर रॅपरच्या स्वरूपात लागू केले जाते. फायरवॉल्ड एक पार्श्वभूमी प्रक्रिया म्हणून चालते जी तुम्हाला पॅकेट फिल्टर नियम रीलोड न करता किंवा स्थापित कनेक्शन खंडित न करता D-Bus द्वारे पॅकेट फिल्टर नियम गतिशीलपणे बदलू देते. RHEL 7+, Fedora 18+ आणि SUSE/openSUSE 15+ सह अनेक Linux वितरणांमध्ये प्रकल्प आधीच वापरला गेला आहे. फायरवॉल्ड कोड पायथनमध्ये लिहिलेला आहे आणि तो GPLv2 परवान्याअंतर्गत परवानाकृत आहे.

फायरवॉल व्यवस्थापित करण्यासाठी, फायरवॉल-सीएमडी युटिलिटी वापरली जाते, जी नियम तयार करताना, आयपी पत्ते, नेटवर्क इंटरफेस आणि पोर्ट नंबरवर आधारित नसून सेवांच्या नावांवर आधारित असते (उदाहरणार्थ, एसएसएचमध्ये प्रवेश उघडण्यासाठी आपल्याला आवश्यक आहे SSH बंद करण्यासाठी “firewall-cmd —add —service=ssh” चालवा – “firewall-cmd –remove –service=ssh”). फायरवॉल कॉन्फिगरेशन बदलण्यासाठी, फायरवॉल-कॉन्फिगरेशन (GTK) ग्राफिकल इंटरफेस आणि फायरवॉल-ऍपलेट (Qt) ऍपलेट देखील वापरले जाऊ शकते. D-BUS API firewalld द्वारे फायरवॉल व्यवस्थापनासाठी समर्थन नेटवर्क मॅनेजर, libvirt, podman, docker आणि fail2ban सारख्या प्रकल्पांमध्ये उपलब्ध आहे.

आवृत्ती क्रमांकामध्ये एक महत्त्वपूर्ण बदल बदलांशी संबंधित आहे जे बॅकवर्ड सुसंगतता खंडित करते आणि झोनसह कार्य करण्याचे वर्तन बदलते. झोनमध्ये परिभाषित केलेले सर्व फिल्टरिंग पॅरामीटर्स आता फक्त होस्टला संबोधित केलेल्या ट्रॅफिकवर लागू केले जातात ज्यावर फायरवॉल्ड चालत आहे आणि ट्रांझिट ट्रॅफिक फिल्टर करण्यासाठी धोरणे सेट करणे आवश्यक आहे. सर्वात लक्षणीय बदल:

• बॅकएंड ज्याने त्यास iptables वर कार्य करण्यास परवानगी दिली ती अप्रचलित घोषित केली गेली आहे. iptables साठी समर्थन नजीकच्या भविष्यासाठी राखले जाईल, परंतु हे बॅकएंड विकसित केले जाणार नाही.
• इंट्रा-झोन-फॉरवर्डिंग मोड सर्व नवीन झोनसाठी डीफॉल्टनुसार सक्षम आणि सक्रिय केला जातो, ज्यामुळे नेटवर्क इंटरफेस किंवा एका झोनमधील रहदारी स्रोतांमध्ये पॅकेट्सची मुक्त हालचाल होऊ शकते (सार्वजनिक, ब्लॉक, विश्वसनीय, अंतर्गत, इ.). जुने वर्तन परत आणण्यासाठी आणि पॅकेट्स एका झोनमध्ये फॉरवर्ड करण्यापासून रोखण्यासाठी, तुम्ही “firewall-cmd –permanent –zone public –remove-forward” कमांड वापरू शकता.
• अॅड्रेस ट्रान्सलेशनशी संबंधित नियम (NAT) "इनेट" प्रोटोकॉल फॅमिलीमध्ये हलवले गेले आहेत (पूर्वी "ip" आणि "ip6" फॅमिलीमध्ये जोडले गेले होते, ज्यामुळे IPv4 आणि IPv6 साठी डुप्लिकेट नियमांची आवश्यकता होती). बदलामुळे आम्हाला ipset वापरताना डुप्लिकेट्सपासून मुक्त होण्यास अनुमती मिळाली - ipset नोंदींच्या तीन प्रतींऐवजी, आता एक वापरली जाते.
• "--सेट-लक्ष्य" पॅरामीटरमध्ये निर्दिष्ट केलेली "डीफॉल्ट" क्रिया आता "नाकारणे" च्या समतुल्य आहे, उदा. झोनमध्ये परिभाषित केलेल्या नियमांत न येणारी सर्व पॅकेट्स डीफॉल्टनुसार ब्लॉक केली जातील. अपवाद फक्त ICMP पॅकेटसाठी आहे, ज्यांना अद्याप परवानगी आहे. सार्वजनिकरित्या प्रवेश करण्यायोग्य "विश्वसनीय" झोनसाठी जुने वर्तन परत करण्यासाठी, तुम्ही खालील नियम वापरू शकता: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —सेट-लक्ष्य स्वीकारा firewall-cmd —स्थायी — धोरण परवानगी फॉरवर्ड —जोड-इनग्रेस-झोन सार्वजनिक फायरवॉल-सीएमडी —कायम —पॉलिसी अनुमती फॉरवर्ड —जोड-एग्रेस-झोन विश्वसनीय फायरवॉल-सीएमडी —रीलोड
• सकारात्मक प्राधान्य धोरणे आता “--सेट-लक्ष्य कॅच-ऑल” नियम अंमलात येण्यापूर्वी लगेच अंमलात आणली जातात, उदा. अंतिम ड्रॉप जोडण्यापूर्वीच्या क्षणी, “--सेट-लक्ष्य ड्रॉप|नाकार|स्वीकार” वापरणार्‍या झोनसह नियम नाकारणे किंवा स्वीकारणे.
• ICMP अवरोधित करणे आता फक्त वर्तमान होस्ट (इनपुट) ला संबोधित केलेल्या इनकमिंग पॅकेट्सवर लागू होते आणि झोन (फॉरवर्ड) दरम्यान पुनर्निर्देशित पॅकेट्सवर परिणाम करत नाही.
• tftp-क्लायंट सेवा, TFTP प्रोटोकॉलसाठी कनेक्शन ट्रॅक करण्यासाठी डिझाइन केलेली, परंतु निरुपयोगी स्वरूपात होती, काढून टाकण्यात आली आहे.
• "डायरेक्ट" इंटरफेस नापसंत केले गेले आहे, ज्यामुळे तयार पॅकेट फिल्टर नियम थेट समाविष्ट केले जाऊ शकतात. पुनर्निर्देशित आणि आउटगोइंग पॅकेट फिल्टर करण्याची क्षमता जोडल्यानंतर या इंटरफेसची आवश्यकता नाहीशी झाली.
• CleanupModulesOnExit पॅरामीटर जोडले, जे डीफॉल्टनुसार "नाही" मध्ये बदलले आहे. या पॅरामीटरचा वापर करून, फायरवॉल्ड बंद झाल्यानंतर तुम्ही कर्नल मॉड्यूल्सचे अनलोडिंग नियंत्रित करू शकता.
• लक्ष्य प्रणाली (गंतव्य) निर्धारित करताना ipset वापरण्याची परवानगी आहे.
• WireGuard, Kubernetes आणि netbios-ns सेवांसाठी व्याख्या जोडल्या.
• zsh साठी स्वयंपूर्णता नियम लागू केले.
• Python 2 साठी समर्थन सोडले गेले आहे.
• अवलंबित्वांची यादी लहान केली आहे. Firewalld कार्य करण्यासाठी, Linux कर्नल व्यतिरिक्त, आता फक्त python लायब्ररी dbus, gobject आणि nftables आवश्यक आहेत, आणि ebtables, ipset आणि iptables पॅकेजेस पर्यायी म्हणून वर्गीकृत आहेत. पायथन लायब्ररी डेकोरेटर आणि स्लिप अवलंबितांमधून काढले गेले आहेत.

स्त्रोत: opennet.ru