Firewalld 1.0 ထုတ်ဝေမှု

nftables နှင့် iptables packet filters များပေါ်တွင် wrapper ပုံစံဖြင့် dynamically controlled firewalld 1.0 ၏ ဖြန့်ချိမှုကို တင်ပြထားပါသည်။ Firewalld သည် packet filter စည်းမျဉ်းများကို ပြန်လည်စတင်ရန် မလိုအပ်ဘဲ သို့မဟုတ် သတ်မှတ်ထားသော ချိတ်ဆက်မှုများကို ချိုးဖောက်ခြင်းမရှိဘဲ D-Bus မှတစ်ဆင့် packet filter စည်းမျဉ်းများကို dynamically ပြောင်းလဲနိုင်စေမည့် နောက်ခံလုပ်ငန်းစဉ်အဖြစ် လုပ်ဆောင်ပါသည်။ ပရောဂျက်ကို RHEL 7+၊ Fedora 18+ နှင့် SUSE/openSUSE 15+ အပါအဝင် Linux ဖြန့်ဖြူးမှုများစွာတွင် အသုံးပြုထားပြီးဖြစ်သည်။ Firewalld ကုဒ်ကို Python ဖြင့်ရေးသားထားပြီး GPLv2 လိုင်စင်အောက်တွင် လိုင်စင်ရထားသည်။

Firewall ကို စီမံခန့်ခွဲရန်အတွက် Firewall-cmd utility ကို အသုံးပြုပြီး စည်းမျဉ်းများဖန်တီးရာတွင် IP လိပ်စာများ၊ ကွန်ရက်ကြားခံများနှင့် ပို့တ်နံပါတ်များပေါ်တွင် အခြေခံထားခြင်းမဟုတ်ဘဲ ဝန်ဆောင်မှုများ၏အမည်များပေါ်တွင် အခြေခံထားခြင်းဖြစ်သည် (ဥပမာ၊ SSH သို့ဝင်ရောက်ခွင့်ဖွင့်ရန် သင်လိုအပ်သည်။ SSH – “firewall-cmd –remove –service=ssh”) ကိုပိတ်ရန် “firewall-cmd —add —service=ssh” ကိုဖွင့်ပါ။ Firewall configuration ကိုပြောင်းလဲရန်၊ firewall-config (GTK) graphical interface နှင့် firewall-applet (Qt) applet တို့ကိုလည်း အသုံးပြုနိုင်ပါသည်။ D-BUS API firewalld မှတစ်ဆင့် firewalld စီမံခန့်ခွဲမှုအတွက် ပံ့ပိုးမှုကို NetworkManager၊ libvirt၊ podman၊ docker နှင့် fail2ban ကဲ့သို့သော ပရောဂျက်များတွင် ရနိုင်ပါသည်။

ဗားရှင်းနံပါတ်တွင် သိသာထင်ရှားသောပြောင်းလဲမှုသည် နောက်ပြန်လိုက်ဖက်ညီမှုကို ချိုးဖျက်ပြီး ဇုန်များနှင့် လုပ်ဆောင်သည့်အပြုအမူကို ပြောင်းလဲစေသည့် အပြောင်းအလဲများနှင့် ဆက်စပ်နေသည်။ ဇုန်အတွင်း သတ်မှတ်ထားသော စစ်ထုတ်ခြင်းဆိုင်ရာ ကန့်သတ်ဘောင်များအားလုံးကို ယခုအခါ firewalld လုပ်ဆောင်နေသည့် host ထံ လိပ်စာပေးထားသော အသွားအလာအတွက်သာ အသုံးပြုထားပြီး ဖြတ်သန်းသွားလာမှုကို စစ်ထုတ်ခြင်းဆိုင်ရာ ဆက်တင်မူဝါဒများ လိုအပ်ပါသည်။ သိသာထင်ရှားသောပြောင်းလဲမှုများ-

• ၎င်းကို iptables များထိပ်တွင် အလုပ်လုပ်ရန် ခွင့်ပြုထားသော နောက်ခံဖိုင်သည် အသုံးမပြုတော့ကြောင်း ကြေညာထားသည်။ iptables များအတွက် ပံ့ပိုးမှုအား မျှော်မှန်း၍မရနိုင်သော အနာဂတ်အတွက် ဆက်လက်ထိန်းသိမ်းထားမည်ဖြစ်ပြီး၊ သို့သော် ဤ backend ကို ဖွံ့ဖြိုးလာမည်မဟုတ်ပါ။
• ဇုန်အတွင်း ထပ်ဆင့်ပို့ခြင်းမုဒ်ကို ဇုန်အသစ်အားလုံးအတွက် မူလပုံစံဖြင့် ဖွင့်ထားပြီး ကွန်ရက်အင်တာဖေ့စ်များ သို့မဟုတ် လမ်းကြောင်းဆိုင်ရာရင်းမြစ်များအကြား ဇုန်တစ်ခုအတွင်း (အများပြည်သူ၊ ပိတ်ဆို့ခြင်း၊ ယုံကြည်စိတ်ချရသော၊ အတွင်းပိုင်း စသည်ဖြင့်) အကြား အစုံလိုက်များကို လွတ်လပ်စွာ ရွေ့လျားခွင့်ပြုသည်။ အပြုအမူဟောင်းကို ပြန်၍ ဇုန်တစ်ခုအတွင်း packets များမပို့ခြင်းမှ ကာကွယ်ရန်၊ သင်သည် “firewall-cmd –permanent –zone public –remove-forward” အမိန့်ကို အသုံးပြုနိုင်သည်။
• လိပ်စာဘာသာပြန်ဆိုခြင်း (NAT) နှင့်ဆိုင်သော စည်းမျဉ်းများကို "inet" ပရိုတိုကော မိသားစုသို့ ရွှေ့လိုက်သည် (ယခင်က IPv6 နှင့် IPv4 အတွက် စည်းမျဉ်းများကို ထပ်ပွားရန် လိုအပ်လာခဲ့သည့် "ip" နှင့် "ip6" မိသားစုများသို့ ရွှေ့ထားသည်။ ပြောင်းလဲမှုသည် ipset ကိုအသုံးပြုသည့်အခါ ထပ်တူများကို ဖယ်ရှားနိုင်စေသည် - ipset ထည့်သွင်းမှုများ၏ မိတ္တူသုံးစောင်အစား၊ တစ်ခုကို ယခုအသုံးပြုထားသည်။
• "--set-target" ဘောင်အတွင်း သတ်မှတ်ထားသော "မူလ" လုပ်ဆောင်ချက်သည် ယခုအခါ "ငြင်းပယ်" နှင့် ညီမျှသည်။ ဇုန်အတွင်းရှိ သတ်မှတ်ထားသော စည်းမျဉ်းများအောက်တွင် မကျရောက်သော ပက်ကေ့ဂျ်များအားလုံးကို ပုံမှန်အားဖြင့် ပိတ်ဆို့သွားပါမည်။ ခြွင်းချက်တစ်ခုသည် ICMP ပက်ကတ်များအတွက်သာ ပြုလုပ်ထားပြီး၊ ဖြတ်သန်းခွင့်ပြုဆဲဖြစ်သည်။ အများသူငှာဝင်ရောက်နိုင်သော "ယုံကြည်စိတ်ချရသော" ဇုန်အတွက် အမူအကျင့်ဟောင်းကို ပြန်ပြောင်းရန်အတွက် အောက်ပါစည်းမျဉ်းများကို သင်အသုံးပြုနိုင်သည်- firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — ပေါ်လစီ-ရှေ့ဆက်ခွင့်—add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —reload
• "--set-target catch-all" စည်းမျဉ်းကို မလုပ်ဆောင်မီ အပြုသဘောဆောင်သော ဦးစားပေးမူဝါဒများကို ယခုချက်ချင်း လုပ်ဆောင်ပါသည်။ နောက်ဆုံး drop ကိုမထည့်မီတွင် “--set-target drop|reject|accept” ကိုသုံးသည့်ဇုန်များအတွက် အပါအဝင် စည်းမျဉ်းများကို ငြင်းပယ်ပါ သို့မဟုတ် လက်ခံပါ။
• ICMP ပိတ်ဆို့ခြင်းသည် ယခုလက်ရှိ host (input) သို့ ပေးပို့ထားသော အဝင်ပက်ကေ့ဂျ်များနှင့်သာ သက်ဆိုင်ပြီး ဇုန်များကြား (ရှေ့သို့) ပြန်ညွှန်းထားသော ပက်ကတ်များကို မထိခိုက်စေပါ။
• TFTP ပရိုတိုကောအတွက် ချိတ်ဆက်မှုများကို ခြေရာခံရန် ဒီဇိုင်းထုတ်ထားသည့် tftp-Client ဝန်ဆောင်မှုကို ဖယ်ရှားလိုက်ပါသည်။
• "တိုက်ရိုက်" အင်တာဖေ့စ်ကို ရပ်ဆိုင်းလိုက်ပြီး၊ အသင့်လုပ်ထားသော ပက်ကတ်စစ်ထုတ်မှုစည်းမျဉ်းများကို တိုက်ရိုက်ထည့်သွင်းရန် ခွင့်ပြုထားသည်။ ပြန်ညွှန်းထားသော လမ်းကြောင်းနှင့် ထွက်သွားသည့် ပက်ကေ့ခ်ျများကို စစ်ထုတ်နိုင်စွမ်းကို ပေါင်းထည့်ပြီးနောက် ဤအင်တာဖေ့စ်အတွက် လိုအပ်ချက်သည် ပျောက်ကွယ်သွားခဲ့သည်။
• ပုံသေအားဖြင့် "မရှိ" သို့ပြောင်းထားသည့် CleanupModulesOnExit ပါရာမီတာကို ထပ်ထည့်ထားသည်။ ဤပါရာမီတာကိုအသုံးပြုခြင်းဖြင့်၊ firewalld ပိတ်ပြီးနောက် kernel module များကို unloading ကို ထိန်းချုပ်နိုင်သည်။
• ပစ်မှတ်စနစ် (ဦးတည်ရာနေရာ) ကို ဆုံးဖြတ်ရာတွင် ipset ကို အသုံးပြုရန် ခွင့်ပြုထားသည်။
• WireGuard၊ Kubernetes နှင့် netbios-ns ဝန်ဆောင်မှုများအတွက် အဓိပ္ပါယ်ဖွင့်ဆိုချက်များ ထည့်သွင်းထားသည်။
• zsh အတွက် အလိုအလျောက်ဖြည့်စွက်ခြင်းစည်းမျဉ်းများကို အကောင်အထည်ဖော်ခဲ့သည်။
• Python 2 အတွက် ပံ့ပိုးမှုကို ရပ်ဆိုင်းလိုက်ပါပြီ။
• မှီခိုမှုစာရင်းကို အတိုချုံးပြီးပါပြီ။ Firewalld အလုပ်လုပ်ရန်အတွက်၊ Linux kernel အပြင်၊ တစ်ခုတည်းသော python စာကြည့်တိုက်များ dbus၊ gobject နှင့် nftables များကို ယခု လိုအပ်ပြီး ebtables၊ ipset နှင့် iptables ပက်ကေ့ဂျ်များကို စိတ်ကြိုက်ရွေးချယ်နိုင်သည်။ python libraries decorator နှင့် slip အား မှီခိုမှုမှ ဖယ်ရှားလိုက်ပါပြီ။

source: opennet.ru