De release van de dynamisch gecontroleerde firewall firewalld 1.2 is gepubliceerd, geïmplementeerd in de vorm van een wrapper over de nftables- en iptables-pakketfilters. Firewalld draait als een achtergrondproces waarmee u pakketfilterregels dynamisch kunt wijzigen via D-Bus zonder dat u de pakketfilterregels opnieuw hoeft te laden of gevestigde verbindingen hoeft te verbreken. Het project wordt al in veel Linux-distributies gebruikt, waaronder RHEL 7+, Fedora 18+ en SUSE/openSUSE 15+. De firewalld-code is geschreven in Python en is gelicentieerd onder de GPLv2.
Om de firewall te beheren wordt het firewall-cmd-hulpprogramma gebruikt, dat bij het maken van regels niet gebaseerd is op IP-adressen, netwerkinterfaces en poortnummers, maar op de namen van services (om bijvoorbeeld toegang tot SSH te openen, moet u voer “firewall-cmd —add —service= ssh” uit om SSH te sluiten – “firewall-cmd –remove –service=ssh”). Om de firewallconfiguratie te wijzigen, kunnen ook de grafische interface firewall-config (GTK) en de applet firewall-applet (Qt) worden gebruikt. Ondersteuning voor firewallbeheer via de D-BUS API firewalld is beschikbaar in projecten als NetworkManager, libvirt, podman, docker en fail2ban.
Grote veranderingen:
- De snmptls- en snmptls-trap-services zijn geïmplementeerd om de toegang tot het SNMP-protocol via een beveiligd communicatiekanaal te verwerken.
- Er is een service geïmplementeerd die het protocol ondersteunt dat wordt gebruikt in het gedecentraliseerde bestandssysteem IPFS.
- Services toegevoegd met ondersteuning voor gpsd, ident, ps3netsrv, CrateDB, checkmk, netdata, Kodi JSON-RPC, EventServer, Prometheus node-exporter, kubelet-readonly, evenals een beschermde versie van k8s controller-plane.
- Optie "--log-target" toegevoegd.
- Er is een failsafe opstartmodus toegevoegd, die het mogelijk maakt om, in geval van problemen met de opgegeven regels, terug te keren naar de standaardconfiguratie zonder de host onbeschermd te laten.
- Bash ondersteunt nu het voltooien van opdrachten voor het werken met regels.
Bron: opennet.ru