ProHoster > Blog > warta internét > release Firewalld 1.0

release Firewalld 1.0

A sékrési firewall firewalld dinamis dikawasa 1.0 dibere, dilaksanakeun dina bentuk wrapper leuwih nftables na iptables pakét saringan. Firewalld dijalankeun salaku prosés tukang nu ngidinan Anjeun pikeun dinamis ngarobah aturan pakét filter via D-Beus tanpa kudu ngamuat deui aturan packet filter atawa megatkeun sambungan ngadegkeun. Proyék ieu parantos dianggo dina seueur distribusi Linux, kalebet RHEL 7+, Fedora 18+ sareng SUSE / openSUSE 15+. Kode firewalld ditulis dina Python jeung dilisensikeun dina lisénsi GPLv2.

Pikeun ngatur firewall, utilitas firewall-cmd dianggo, anu, nalika nyiptakeun aturan, henteu didasarkeun kana alamat IP, antarmuka jaringan sareng nomer port, tapi dina nami jasa (contona, pikeun muka aksés ka SSH anjeun peryogi ngajalankeun "firewall-cmd -add -service = ssh", pikeun nutup SSH - "firewall-cmd -remove -service = ssh"). Pikeun ngarobah konfigurasi firewall, firewall-config (GTK) panganteur grafis jeung firewall-applet (Qt) applet ogé bisa dipaké. Rojongan pikeun manajemén firewall via D-BUS API firewalld sadia dina proyék kayaning NetworkManager, libvirt, podman, docker na fail2ban.

Parobihan anu signifikan dina nomer vérsi pakait sareng parobihan anu ngarobih kasaluyuan mundur sareng ngarobih kabiasaan damel sareng zona. Sadaya parameter panyaring anu ditetepkeun dina zona ayeuna ngan ukur diterapkeun pikeun lalu lintas anu ditujukeun ka host dimana firewalld dijalankeun, sareng nyaring lalu lintas transit meryogikeun netepkeun kawijakan. Parobahan anu paling katingali:

  • Backend anu ngamungkinkeun éta tiasa dianggo dina luhureun iptables parantos dinyatakeun luntur. Rojongan pikeun iptables bakal dijaga pikeun masa depan anu diramalkeun, tapi backend ieu moal dikembangkeun.
  • Modeu intra-zone-forwarding diaktipkeun sareng diaktipkeun sacara standar pikeun sadaya zona énggal, ngamungkinkeun pakét bébas gerak antara antarmuka jaringan atanapi sumber lalu lintas dina hiji zona (umum, blok, dipercaya, internal, jsb.). Pikeun mulangkeun kabiasaan anu lami sareng nyegah pakét diteruskeun dina hiji zona, anjeun tiasa nganggo paréntah "firewall-cmd -permanent -zone public -remove-forward".
  • Aturan anu aya hubunganana sareng tarjamahan alamat (NAT) parantos dipindahkeun ka kulawarga protokol "inet" (saméméhna ditambahkeun kana kulawarga "ip" sareng "ip6", anu nyababkeun kedah duplikat aturan pikeun IPv4 sareng IPv6). Parobihan éta ngamungkinkeun urang ngaleungitkeun duplikat nalika nganggo ipset - tibatan tilu salinan éntri ipset, ayeuna dianggo.
  • The "standar" Peta dieusian dina parameter "--set-target" ayeuna sarua jeung "tolak", i.e. kabéh pakét nu teu digolongkeun dina aturan didefinisikeun dina zone bakal diblokir sacara standar. Pangecualian dijieun ngan pikeun pakét ICMP, nu masih diwenangkeun ngaliwatan. Pikeun mulangkeun kabiasaan anu lami pikeun zona "dipercaya" anu tiasa diaksés ku masarakat, anjeun tiasa nganggo aturan ieu: firewall-cmd —permanén —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — kawijakan allowForward -add-ingress -zone public firewall-cmd -permanent -policy allowForward -add-egress-zone trusted firewall-cmd -reload
  • Kabijakan prioritas anu positif ayeuna dilaksanakeun langsung sateuacan aturan "--set-target catch-all" dieksekusi, nyaéta. samentawis sateuacan nambihan serelek ahir, nolak atanapi nampi aturan, kalebet pikeun zona anu nganggo "--set-target drop|reject|accept".
  • ICMP blocking ayeuna lumaku ngan pikeun pakét asup ka alamat host ayeuna (input) jeung teu mangaruhan pakét dialihkeun antara zona (maju).
  • Ladenan tftp-klien, dirancang pikeun lagu sambungan pikeun protokol TFTP, tapi éta dina formulir unusable, geus dihapus.
  • The "langsung" panganteur geus deprecated, sahingga aturan pakét filter siap-dijieun bisa langsung diselapkeun. Kabutuhan pikeun antarmuka ieu ngaleungit saatos nambihan kamampuan pikeun nyaring pakét anu dialihkeun sareng kaluar.
  • Ditambahkeun parameter CleanupModulesOnExit, anu dirobih janten "henteu" sacara standar. Ngagunakeun parameter ieu, anjeun bisa ngadalikeun unloading modul kernel sanggeus firewalld shuts handap.
  • Diidinan ngagunakeun ipset nalika nangtukeun sistem target (tujuan).
  • Ditambahkeun definisi pikeun WireGuard, Kubernetes sareng jasa netbios-ns.
  • Dilaksanakeun aturan autocompletion pikeun zsh.
  • rojongan Python 2 geus dieureunkeun.
  • Daptar kagumantungan parantos disingkat. Pikeun firewalld tiasa dianggo, salian kernel Linux, hiji-hijina perpustakaan python dbus, gobject sareng nftables ayeuna diperyogikeun, sareng bungkusan ebtables, ipset sareng iptables diklasifikasikeun salaku pilihan. The python perpustakaan decorator na slip geus dihapus tina kagumantungan.

sumber: opennet.ru

Tambahkeun komentar