ProHoster > بلاګ > انټرنیټ خبرونه > د فایروالډ 1.0 خوشې کول

د فایروالډ 1.0 خوشې کول

د متحرک کنټرول شوي فایروال فایروالډ 1.0 خوشې کول وړاندې کیږي ، د nftables او iptables پاکټ فلټرونو باندې د ریپر په شکل پلي کیږي. فایروالډ د شالید پروسې په توګه پرمخ ځي چې تاسو ته اجازه درکوي په متحرک ډول د D-Bus له لارې د پیکټ فلټر قواعد بدل کړئ پرته لدې چې د پاکټ فلټر قواعد بیا پورته کړئ یا رامینځته شوي اړیکې مات کړئ. پروژه لا دمخه په ډیری لینکس توزیعونو کې کارول کیږي ، پشمول د RHEL 7+، Fedora 18+ او SUSE/openSUSE 15+. د فایروالډ کوډ په Python کې لیکل شوی او د GPLv2 جواز لاندې جواز لري.

د فایروال اداره کولو لپاره ، د Firewall-cmd یوټیلیټ کارول کیږي ، کوم چې کله چې مقررات رامینځته کوي د IP پتې ، شبکې انٹرفیسونو او پورټ شمیرو پراساس ندي ، مګر د خدماتو نومونو باندې (د مثال په توګه ، SSH ته د لاسرسي خلاصولو لپاره تاسو اړتیا لرئ) د SSH بندولو لپاره "firewall-cmd -add -service = ssh" چل کړئ - "firewall-cmd -remove -service=ssh"). د فایروال ترتیب بدلولو لپاره، د Firewall-config (GTK) ګرافیکي انٹرفیس او د Firewall-applet (Qt) اپلیټ هم کارول کیدی شي. د D-BUS API فایروالډ له لارې د فایر وال مدیریت لپاره ملاتړ په پروژو کې شتون لري لکه د شبکې مدیر ، لیب ویرټ ، پوډمین ، ډاکر او ناکام 2بان.

د نسخې شمیره کې د پام وړ بدلون د بدلونونو سره تړاو لري چې د شاته مطابقت ماتوي او د زونونو سره د کار کولو چلند بدلوي. په زون کې تعریف شوي د فلټر کولو ټول پیرامیټونه اوس یوازې په هغه ټرافیک باندې پلي کیږي چې کوربه ته په ګوته شوي په کوم کې چې فایروالډ چلیږي ، او د ټرانزیټي ترافیک فلټر کول د پالیسیو ترتیب کولو ته اړتیا لري. تر ټولو د پام وړ بدلونونه:

  • هغه شالید چې دې ته یې د iptables په سر کې د کار کولو اجازه ورکړه ناپاکه اعلان شوې. د iptables لپاره ملاتړ به د نږدې راتلونکي لپاره ساتل کیږي، مګر دا پس منظر به وده ونه کړي.
  • د انټرا زون فارورډینګ حالت د ټولو نویو زونونو لپاره د ډیفالټ لخوا فعال شوی او فعال شوی ، د شبکې انٹرفیسونو یا ټرافيکي سرچینو ترمینځ د پاکټونو وړیا حرکت ته اجازه ورکوي په یوه زون کې (عامه ، بلاک ، باوري ، داخلي او نور). د زوړ چلند بیرته راګرځولو او په یوه زون کې د پیکټونو د لیږدولو مخه نیولو لپاره، تاسو کولی شئ د "فیروال-cmd -permanent -zone public -remove-forward" کمانډ وکاروئ.
  • د پتې ژباړې (NAT) پورې اړوند مقررات د "inet" پروتوکول کورنۍ ته لیږدول شوي (مخکې په "ip" او "ip6" کورنیو کې اضافه شوي، کوم چې د IPv4 او IPv6 لپاره د نقل کولو مقرراتو ته اړتیا رامینځته کړې). بدلون موږ ته اجازه راکړه چې د ipset کارولو پر مهال د نقلونو څخه ځان خلاص کړو - د ipset ننوتلو درې کاپيونو پرځای، یو اوس کارول کیږي.
  • په "--set-target" پیرامیټر کې مشخص شوي "default" عمل اوس د "رد" سره برابر دی، د بیلګې په توګه. ټول پاکټونه چې په زون کې تعریف شوي مقرراتو لاندې نه راځي د ډیفالټ لخوا بلاک کیږي. یو استثنا یوازې د ICMP پاکټونو لپاره رامینځته شوې ، کوم چې لاهم اجازه لري. د عامه لاسرسي وړ "باور لرونکي" زون لپاره د زوړ چلند بیرته راستنولو لپاره، تاسو کولی شئ لاندې مقررات وکاروئ: firewall-cmd — دایمي — نوې پالیسي اجازه فارورډ فایروال- cmd — دایمي — پالیسي اجازه فارورډ — ټاکل شوي هدف ACCEPT firewall-cmd — دایمي — د پالیسۍ اجازه فارورډ —add-ingress-zone public firewall-cmd —دایمي —پالیسی اجازه فارورډ —add-egress-zone باوري فایروال-cmd —ریلوډ
  • د مثبت لومړیتوب پالیسي اوس سمدستي اجرا کیږي مخکې لدې چې د "--set-target catch-all" قاعده اجرا شي، د بیلګې په توګه. په اوس وخت کې د وروستي ډراپ اضافه کولو دمخه، قواعد رد یا قبول کړئ، په شمول د هغو زونونو لپاره چې "--set-target drop|reject|accept" کاروي.
  • د ICMP بلاک کول اوس یوازې په راتلونکو پیکټو باندې پلي کیږي چې اوسني کوربه (ان پټ) ته په ګوته شوي او د زونونو (مخکې) تر مینځ لیږل شوي پاکټونو اغیزه نه کوي.
  • د tftp- مراجعینو خدمت، د TFTP پروتوکول لپاره د اړیکو تعقیبولو لپاره ډیزاین شوی، مګر په غیر استعمال شوي شکل کې و، لیرې شوی.
  • "مستقیم" انٹرفیس له مینځه وړل شوی، د چمتو شوي پاکټ فلټر مقرراتو ته اجازه ورکوي چې مستقیم داخل شي. د دې انٹرفیس اړتیا وروسته له هغه ورکه شوه چې د بیرته راستنیدو او وتلو پاکټونو فلټر کولو وړتیا اضافه کړه.
  • د CleanupModulesOnExit پیرامیټر اضافه شوی، کوم چې په ډیفالټ "نه" بدل شوی. د دې پیرامیټر په کارولو سره، تاسو کولی شئ د فایروالډ بندیدو وروسته د کرنل ماډلونو پورته کول کنټرول کړئ.
  • د هدف سیسټم (منزل) ټاکلو پر مهال د ipset کارولو ته اجازه ورکړل شوې.
  • د WireGuard، Kubernetes او netbios-ns خدماتو لپاره تعریفونه اضافه شوي.
  • د zsh لپاره د اتوماتیک بشپړولو قواعد پلي شوي.
  • د Python 2 لپاره ملاتړ بند شوی دی.
  • د انحصارونو لیست لنډ شوی دی. د فایروالډ د کار کولو لپاره، د لینکس کرنل سربیره، یوازې د python کتابتون dbus، gobject او nftables اوس اړین دي، او د ebtables، ipset او iptables کڅوړې د اختیاري په توګه طبقه بندي شوي. د پیتون کتابتون ډیکورټر او سلیپ له انحصار څخه لرې شوي.

سرچینه: opennet.ru

Add a comment