En utgivelse av den dynamisk kontrollerte brannmuren brannmur 1.0 er presentert, implementert i form av en wrapper over nftables og iptables pakkefiltre. Firewalld kjører som en bakgrunnsprosess som lar deg endre pakkefilterregler dynamisk via D-Bus uten å måtte laste inn pakkefilterreglene på nytt eller bryte etablerte tilkoblinger. Prosjektet er allerede brukt i mange Linux-distribusjoner, inkludert RHEL 7+, Fedora 18+ og SUSE/openSUSE 15+. Brannmurkoden er skrevet i Python og er lisensiert under GPLv2-lisensen.
For å administrere brannmuren brukes brannmur-cmd-verktøyet, som ved opprettelse av regler ikke er basert på IP-adresser, nettverksgrensesnitt og portnumre, men på navn på tjenester (for eksempel for å åpne tilgang til SSH må du kjør “firewall-cmd —add —service= ssh”, for å lukke SSH – “firewall-cmd –remove –service=ssh”). For å endre brannmurkonfigurasjonen kan det grafiske grensesnittet brannmur-konfigurasjon (GTK) og brannmur-applet (Qt)-appleten også brukes. Støtte for brannmuradministrasjon via D-BUS API-brannmuren er tilgjengelig i prosjekter som NetworkManager, libvirt, podman, docker og fail2ban.
En betydelig endring i versjonsnummeret er forbundet med endringer som bryter bakoverkompatibiliteten og endrer virkemåten ved arbeid med soner. Alle filtreringsparametere som er definert i sonen, brukes nå kun på trafikk adressert til verten som brannmuren kjører på, og filtrering av transittrafikk krever innstilling av retningslinjer. De mest merkbare endringene:
- Backend som tillot det å fungere på toppen av iptables er erklært foreldet. Støtte for iptables vil opprettholdes i overskuelig fremtid, men denne backend vil ikke bli utviklet.
- Modusen for videresending innen sone er aktivert og aktivert som standard for alle nye soner, og tillater fri bevegelse av pakker mellom nettverksgrensesnitt eller trafikkkilder innenfor én sone (offentlig, blokkert, klarert, intern, etc.). For å returnere den gamle oppførselen og forhindre at pakker videresendes innenfor én sone, kan du bruke kommandoen “firewall-cmd –permanent –zone public –remove-forward”.
- Regler knyttet til adresseoversettelse (NAT) har blitt flyttet til "inet" protokollfamilien (tidligere lagt til "ip" og "ip6" familiene, noe som førte til behovet for å duplisere regler for IPv4 og IPv6). Endringen gjorde at vi kunne kvitte oss med duplikater ved bruk av ipset – i stedet for tre kopier av ipset-oppføringer, brukes nå én.
- "Standard"-handlingen spesifisert i "--set-target"-parameteren tilsvarer nå "reject", dvs. alle pakker som ikke faller inn under reglene definert i sonen vil bli blokkert som standard. Et unntak gjøres kun for ICMP-pakker, som fortsatt tillates gjennom. For å returnere den gamle virkemåten for den offentlig tilgjengelige "klarerte" sonen, kan du bruke følgende regler: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target GODKJEN brannmur-cmd —permanent — policy allowForward —add-ingress -zone offentlig brannmur-cmd —permanent —policy allowForward —add-egress-zone klarert brannmur-cmd —reload
- Positive prioritetspolicyer utføres nå umiddelbart før «--set-target catch-all»-regelen utføres, dvs. i øyeblikket før du legger til det siste slippet, avvis eller godta regler, inkludert for soner som bruker "--set-target drop|reject|accept".
- ICMP-blokkering gjelder nå bare for innkommende pakker adressert til den gjeldende verten (input) og påvirker ikke pakker omdirigert mellom soner (videresending).
- tftp-klienttjenesten, designet for å spore tilkoblinger for TFTP-protokollen, men var i en ubrukelig form, er fjernet.
- Det "direkte" grensesnittet har blitt avviklet, slik at ferdiglagde pakkefilterregler kan settes inn direkte. Behovet for dette grensesnittet forsvant etter å ha lagt til muligheten til å filtrere omdirigerte og utgående pakker.
- Lagt til CleanupModulesOnExit-parameter, som er endret til "nei" som standard. Ved å bruke denne parameteren kan du kontrollere utlastingen av kjernemoduler etter at brannmuren er stengt.
- Tillatt å bruke ipset ved bestemmelse av målsystemet (destinasjon).
- Lagt til definisjoner for WireGuard, Kubernetes og netbios-ns tjenester.
- Implementerte autofullføringsregler for zsh.
- Python 2-støtte er avviklet.
- Listen over avhengigheter er forkortet. For at brannmuren skal fungere, i tillegg til Linux-kjernen, kreves nå de eneste python-bibliotekene dbus, gobject og nftables, og pakkene ebtables, ipset og iptables er klassifisert som valgfrie. Python-bibliotekets dekoratør og slip er fjernet fra avhengighetene.
Kilde: opennet.ru