Нашри брандмауэри ба таври динамикӣ идорашавандаи брандмауэр 1.0 пешниҳод карда мешавад, ки дар шакли парпеч дар болои филтрҳои бастаи nftables ва iptables амалӣ карда мешавад. Firewalld ҳамчун як раванди замина кор мекунад, ки ба шумо имкон медиҳад, ки қоидаҳои филтри бастаҳоро тавассути D-Bus бе аз нав боркунии қоидаҳои филтри пакетӣ ё вайрон кардани пайвастҳои муқарраршуда динамикӣ тағир диҳед. Лоиҳа аллакай дар бисёр тақсимоти Linux, аз ҷумла RHEL 7+, Fedora 18+ ва SUSE/openSUSE 15+ истифода мешавад. Рамзи брандмауэр дар Python навишта шудааст ва тибқи иҷозатномаи GPLv2 иҷозатнома дорад.
Барои идоракунии брандмауэр, утилитаи firewall-cmd истифода мешавад, ки ҳангоми сохтани қоидаҳо на ба суроғаҳои IP, интерфейсҳои шабакавӣ ва рақамҳои портҳо, балки ба номҳои хидматҳо асос меёбад (масалан, барои кушодани дастрасӣ ба SSH шумо бояд "Firewall-cmd -add -service = ssh" -ро иҷро кунед, то SSH-ро пӯшед - "firewall-cmd -remove -service = ssh"). Барои тағир додани конфигуратсияи девор, интерфейси графикии firewall-config (GTK) ва апплети брандмауэр-аплет (Qt) низ метавонад истифода шавад. Дастгирии идоракунии девори девор тавассути D-BUS API firewalld дар лоиҳаҳое ба мисли NetworkManager, libvirt, podman, docker ва fail2ban дастрас аст.
Тағйироти назаррас дар рақами версия бо тағйироте алоқаманд аст, ки мутобиқати ақибро вайрон мекунанд ва рафтори кор бо минтақаҳоро тағир медиҳанд. Ҳама параметрҳои филтркунии дар минтақа муайяншуда ҳоло танҳо ба трафики ба ҳост, ки дар он брандмауэр кор мекунад, татбиқ мешаванд ва филтр кардани трафики транзитӣ муқаррар кардани сиёсатҳоро талаб мекунад. Тағироти назаррастарин:
- Нақшае, ки ба он имкон дод, ки дар болои iptables кор кунад, кӯҳнашуда эълон карда шуд. Дастгирии iptables барои ояндаи наздик нигоҳ дошта мешавад, аммо ин пуштибонӣ таҳия карда намешавад.
- Реҷаи интиқоли дохилиминтақа ба таври нобаёнӣ барои ҳама минтақаҳои нав фаъол ва фаъол карда шудааст, ки имкон медиҳад, ки пакетҳо байни интерфейсҳои шабакавӣ ё манбаъҳои трафик дар як минтақа (оммавӣ, блок, эътимоднок, дохилӣ ва ғайра) гарданд. Барои баргардонидани рафтори кӯҳна ва пешгирӣ кардани интиқоли бастаҳо дар як минтақа, шумо метавонед фармони “firewall-cmd –permanent –zone public –remove-forward”-ро истифода баред.
- Қоидаҳои марбут ба тарҷумаи суроғаҳо (NAT) ба оилаи протоколҳои “inet” интиқол дода шуданд (қаблан ба оилаҳои “ip” ва “ip6” илова карда шуданд, ки боиси зарурати такрори қоидаҳои IPv4 ва IPv6 гардид). Тағйирот ба мо имкон дод, ки ҳангоми истифодаи ipset аз дубликатҳо халос шавем - ҳоло ба ҷои се нусхаи вурудоти ipset як нусха истифода мешавад.
- Амали "пешфарз", ки дар параметри "--set-target" нишон дода шудааст, ҳоло ба "рад" баробар аст, яъне. ҳама бастаҳое, ки ба қоидаҳои дар минтақа муайяншуда мувофиқат намекунанд, бо нобаёнӣ баста мешаванд. Истисно танҳо барои бастаҳои ICMP дода мешавад, ки ба онҳо то ҳол иҷозат дода мешавад. Барои баргардонидани рафтори кӯҳна барои минтақаи дастраси оммавии "эътимоднок", шумо метавонед қоидаҳои зеринро истифода баред: firewall-cmd — доимӣ — new-policy allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd — доимӣ — Policy allowForward -илова-ворид -минтақаи брандмауэри ҷамъиятии-cmd - доимӣ -сиёсати allowForward -add-egress-zone боэътимоди девори-cmd -аз нав бор кунед
- Сиёсати афзалиятноки мусбат ҳоло фавран пеш аз иҷрои қоидаи "--set-target catch-all" иҷро карда мешавад, яъне. дар айни замон пеш аз илова кардани тарки ниҳоӣ, қоидаҳоро рад кунед ё қабул кунед, аз ҷумла барои минтақаҳое, ки “--set-target drop|reject|accept”-ро истифода мебаранд.
- Бастани ICMP ҳоло танҳо ба бастаҳои воридотӣ, ки ба ҳост (ворид)-и ҷорӣ фиристода шудаанд, дахл дорад ва ба бастаҳое, ки байни минтақаҳо (ба пеш) равона карда мешаванд, таъсир намерасонад.
- Хидмати tftp-client, ки барои пайгирии пайвастҳо барои протоколи TFTP тарҳрезӣ шудааст, аммо дар шакли корношоям буд, хориҷ карда шуд.
- Интерфейси "мустақим" бекор карда шудааст, ки имкон медиҳад, ки қоидаҳои филтри бастаи тайёр мустақиман ворид карда шаванд. Зарурати ин интерфейс пас аз илова кардани қобилияти филтр кардани бастаҳои масир ва содиротӣ аз байн рафт.
- Параметри CleanupModulesOnExit илова карда шуд, ки бо нобаёнӣ ба "не" иваз карда мешавад. Бо истифода аз ин параметр, шумо метавонед пас аз хомӯш кардани девори девор борфарории модулҳои ядроро назорат кунед.
- Иҷозат дода мешавад, ки ipset ҳангоми муайян кардани системаи ҳадаф (маҳалли таъинот) истифода шавад.
- Таърифҳо барои хидматҳои WireGuard, Kubernetes ва netbios-ns илова карда шуданд.
- Қоидаҳои пуркунии худкор барои zsh амалӣ карда шуданд.
- Дастгирии Python 2 қатъ карда шуд.
- Рӯйхати вобастагиҳо кӯтоҳ карда шуд. Барои кор кардани Firewalld, ба ғайр аз ядрои Linux, ҳоло ягона китобхонаҳои python dbus, gobject ва nftables лозиманд ва бастаҳои ebtables, ipset ва iptables ҳамчун ихтиёрӣ тасниф карда мешаванд. Ороишгари китобхонаҳои python ва слип аз вобастагӣ хориҷ карда шуданд.
Манбаъ: opennet.ru