Rilaxx tal-firewall ikkontrollat dinamikament firewalld 1.0 huwa ppreżentat, implimentat fil-forma ta 'tgeżwir fuq il-filtri tal-pakkett nftables u iptables. Firewalld jaħdem bħala proċess ta' sfond li jippermettilek tibdel b'mod dinamiku r-regoli tal-filtru tal-pakkett permezz ta' D-Bus mingħajr ma jkollok għalfejn terġa' tgħabbi r-regoli tal-filtru tal-pakkett jew tkisser konnessjonijiet stabbiliti. Il-proġett huwa diġà użat f'ħafna distribuzzjonijiet Linux, inklużi RHEL 7+, Fedora 18+ u SUSE/openSUSE 15+. Il-kodiċi firewalld huwa miktub f'Python u huwa liċenzjat taħt il-liċenzja GPLv2.
Biex timmaniġġja l-firewall, tintuża l-utilità firewall-cmd, li, meta toħloq regoli, hija bbażata mhux fuq indirizzi IP, interfaces tan-netwerk u numri tal-port, iżda fuq l-ismijiet tas-servizzi (per eżempju, biex tiftaħ aċċess għal SSH jeħtieġ li mexxi “firewall-cmd —add —service= ssh”, biex tagħlaq SSH – “firewall-cmd –remove –service=ssh”). Biex tinbidel il-konfigurazzjoni tal-firewall, jistgħu jintużaw ukoll l-interface grafika tal-firewall-config (GTK) u l-applet tal-firewall-applet (Qt). L-appoġġ għall-ġestjoni tal-firewall permezz tal-firewalld tal-API D-BUS huwa disponibbli fi proġetti bħal NetworkManager, libvirt, podman, docker u fail2ban.
Bidla sinifikanti fin-numru tal-verżjoni hija assoċjata ma 'bidliet li jkissru l-kompatibilità b'lura u jibdlu l-imġieba ta' xogħol maż-żoni. Il-parametri kollha tal-filtrazzjoni definiti fiż-żona issa huma applikati biss għat-traffiku indirizzat lill-host li fuqu qed jaħdem firewalld, u l-iffiltrar tat-traffiku tat-tranżitu jeħtieġ li jiġu stabbiliti politiki. L-aktar bidliet notevoli:
- Il-backend li ppermetta jaħdem fuq iptables ġie ddikjarat skadut. L-appoġġ għall-iptables se jinżamm għall-futur prevedibbli, iżda dan il-backend mhux se jiġi żviluppat.
- Il-mod ta 'trażmissjoni intra-żona huwa attivat u attivat b'mod awtomatiku għaż-żoni l-ġodda kollha, li jippermetti moviment ħieles ta' pakketti bejn interfaces tan-netwerk jew sorsi tat-traffiku f'żona waħda (pubblika, blokka, fdata, interna, eċċ.). Biex tirritorna l-imġieba l-antika u tevita li l-pakketti jintbagħtu f’żona waħda, tista’ tuża l-kmand “firewall-cmd –permanent –zone public –remove-forward”.
- Ir-regoli relatati mat-traduzzjoni tal-indirizzi (NAT) ġew imċaqalqa għall-familja tal-protokoll “inet” (preċedentement miżjuda mal-familji “ip” u “ip6”, li wasslu għall-ħtieġa li jiġu duplikati regoli għall-IPv4 u l-IPv6). Il-bidla ppermettietna neħilsu mid-duplikati meta nużaw ipset - minflok tliet kopji tal-entrati ipset, issa tintuża waħda.
- L-azzjoni "default" speċifikata fil-parametru "--set-target" issa hija ekwivalenti għal "reject", i.e. il-pakketti kollha li ma jaqgħux taħt ir-regoli definiti fiż-żona se jiġu mblukkati awtomatikament. Issir eċċezzjoni biss għall-pakketti ICMP, li għadhom permessi. Biex tirritorna l-imġieba l-antika għaż-żona ta’ “fiduċja” aċċessibbli pubblikament, tista’ tuża r-regoli li ġejjin: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — policy allowForward —add-ingress -zone public firewall-cmd —permanent —politika allowForward —add-egress-zone trusted firewall-cmd —reload
- Politiki ta’ prijorità pożittiva issa huma eżegwiti immedjatament qabel ma tiġi eżegwita r-regola “--set-target catch-all”, i.e. fil-mument qabel ma żżid il-waqgħa finali, irrifjuta jew taċċetta regoli, inkluż għal żoni li jużaw “--set-target drop|reject|accept”.
- L-imblukkar ICMP issa japplika biss għal pakketti deħlin indirizzati lill-host attwali (input) u ma jaffettwax pakketti ridiretti bejn iż-żoni ('il quddiem).
- Is-servizz tftp-client, iddisinjat biex jittraċċa l-konnessjonijiet għall-protokoll TFTP, iżda kien f'forma li ma tistax tintuża, tneħħa.
- L-interface "diretta" ġiet deprecata, li tippermetti li regoli tal-filtri tal-pakketti lesti jiddaħħlu direttament. Il-ħtieġa għal din l-interface sparixxa wara li żiedet il-kapaċità li tiffiltra pakketti ridiretti u ħerġin.
- Miżjud parametru CleanupModulesOnExit, li huwa mibdul għal "le" awtomatikament. Permezz ta 'dan il-parametru, tista' tikkontrolla l-ħatt tal-moduli tal-qalba wara li jintefa l-firewalld.
- Konċess li juża ipset meta tiddetermina s-sistema fil-mira (destinazzjoni).
- Definizzjonijiet miżjuda għas-servizzi WireGuard, Kubernetes u netbios-ns.
- Implimentaw regoli ta' awtokompletazzjoni għal zsh.
- L-appoġġ għal Python 2 twaqqaf.
- Il-lista tad-dipendenzi tqassar. Biex jaħdem firewalld, minbarra l-kernel tal-Linux, issa huma meħtieġa l-uniċi libreriji python dbus, gobject u nftables, u l-pakketti ebtables, ipset u iptables huma kklassifikati bħala fakultattivi. Id-dekoratur tal-libreriji python u slip tneħħew mid-dipendenzi.
Sors: opennet.ru