Predstavljena je izdaja dinamično nadzorovanega požarnega zidu firewalld 1.0, implementiranega v obliki ovoja nad paketnimi filtri nftables in iptables. Firewalld deluje kot proces v ozadju, ki vam omogoča dinamično spreminjanje pravil paketnega filtra prek D-Bus, ne da bi morali znova naložiti pravila paketnega filtra ali prekiniti vzpostavljene povezave. Projekt se že uporablja v številnih distribucijah Linuxa, vključno z RHEL 7+, Fedora 18+ in SUSE/openSUSE 15+. Koda požarnega zidu je napisana v Pythonu in je licencirana pod licenco GPLv2.
Za upravljanje požarnega zidu se uporablja pripomoček firewall-cmd, ki pri ustvarjanju pravil ne temelji na naslovih IP, omrežnih vmesnikih in številkah vrat, temveč na imenih storitev (na primer, da odprete dostop do SSH, morate zaženite “firewall-cmd —add —service= ssh”, da zaprete SSH – “firewall-cmd –remove –service=ssh”). Za spreminjanje konfiguracije požarnega zidu lahko uporabite tudi grafični vmesnik požarnega zidu (GTK) in programček požarnega zidu (Qt). Podpora za upravljanje požarnega zidu prek požarnega zidu D-BUS API je na voljo v projektih, kot so NetworkManager, libvirt, podman, docker in fail2ban.
Pomembna sprememba številke različice je povezana s spremembami, ki prekinejo združljivost za nazaj in spremenijo vedenje dela s conami. Vsi parametri filtriranja, definirani v coni, se zdaj uporabljajo samo za promet, naslovljen na gostitelja, na katerem se izvaja požarni zid, filtriranje tranzitnega prometa pa zahteva nastavitev pravilnikov. Najbolj opazne spremembe:
- Zaledje, ki mu je omogočalo delo na vrhu iptables, je bilo razglašeno za zastarelo. Podpora za iptables bo ohranjena v bližnji prihodnosti, vendar to zaledje ne bo razvito.
- Način posredovanja znotraj območja je privzeto omogočen in aktiviran za vsa nova območja, kar omogoča prost pretok paketov med omrežnimi vmesniki ali viri prometa znotraj ene cone (javno, blokirano, zaupanja vredno, interno itd.). Če želite vrniti staro vedenje in preprečiti posredovanje paketov znotraj enega območja, lahko uporabite ukaz “firewall-cmd –permanent –zone public –remove-forward”.
- Pravila, povezana s prevajanjem naslovov (NAT), so bila premaknjena v družino protokolov »inet« (prej dodana v družini »ip« in »ip6«, zaradi česar je bilo treba podvojiti pravila za IPv4 in IPv6). Sprememba nam je omogočila, da smo se znebili dvojnikov pri uporabi ipset – namesto treh kopij vnosov ipset se zdaj uporablja ena.
- Dejanje »default«, določeno v parametru »--set-target«, je zdaj enakovredno »reject«, tj. vsi paketi, ki ne spadajo pod pravila, definirana v coni, bodo privzeto blokirani. Izjema je le za pakete ICMP, ki so še vedno dovoljeni. Če želite vrniti staro vedenje za javno dostopno »zaupanja vredno« območje, lahko uporabite naslednja pravila: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — pravilnik allowForward —add-ingress -zone public firewall-cmd —permanent —policy allowForward —add-egress-zone trusted firewall-cmd —reload
- Politike pozitivne prioritete se zdaj izvajajo tik pred izvedbo pravila »--set-target catch-all«, tj. v trenutku, preden dodate zadnji izpust, zavrnite ali sprejmite pravila, vključno z območji, ki uporabljajo »--set-target drop|reject|accept«.
- Blokiranje ICMP zdaj velja samo za dohodne pakete, naslovljene na trenutnega gostitelja (vhod), in ne vpliva na pakete, preusmerjene med območji (posredovanje).
- Storitev odjemalca tftp, namenjena sledenju povezavam za protokol TFTP, vendar je bila v neuporabni obliki, je bila odstranjena.
- »Neposredni« vmesnik je bil opuščen in omogoča neposredno vstavljanje že pripravljenih pravil paketnega filtra. Potreba po tem vmesniku je izginila po dodajanju možnosti filtriranja preusmerjenih in odhodnih paketov.
- Dodan parameter CleanupModulesOnExit, ki je privzeto spremenjen na "ne". S tem parametrom lahko nadzirate razkladanje modulov jedra po zaustavitvi požarnega zidu.
- Dovoljeno je uporabljati ipset pri določanju ciljnega sistema (destinacije).
- Dodane definicije za storitve WireGuard, Kubernetes in netbios-ns.
- Implementirana pravila samodokončanja za zsh.
- Podpora za Python 2 je bila ukinjena.
- Seznam odvisnosti je skrajšan. Za delovanje požarnega zidu so poleg jedra Linux zdaj potrebne edine knjižnice python dbus, gobject in nftables, paketi ebtables, ipset in iptables pa so razvrščeni kot neobvezni. Okraševalec knjižnic python in slip sta bila odstranjena iz odvisnosti.
Vir: opennet.ru