Dinamik olarak kontrol edilen güvenlik duvarı güvenlik duvarı 1.0'ın, nftables ve iptables paket filtreleri üzerinde bir sarmalayıcı biçiminde uygulanan bir sürümü sunulmaktadır. Firewalld, paket filtreleme kurallarını yeniden yüklemenize veya kurulu bağlantıları kesmenize gerek kalmadan D-Bus aracılığıyla paket filtreleme kurallarını dinamik olarak değiştirmenize olanak tanıyan bir arka plan işlemi olarak çalışır. Proje halihazırda RHEL 7+, Fedora 18+ ve SUSE/openSUSE 15+ dahil olmak üzere birçok Linux dağıtımında kullanılıyor. Güvenlik duvarı kodu Python'da yazılmıştır ve GPLv2 lisansı altında lisanslanmıştır.
Güvenlik duvarını yönetmek için, kurallar oluştururken IP adreslerine, ağ arayüzlerine ve bağlantı noktası numaralarına değil, hizmetlerin adlarına (örneğin, SSH'ye erişimi açmak için ihtiyacınız olan) dayanan güvenlik duvarı-cmd yardımcı programı kullanılır. SSH'yi kapatmak için “firewall-cmd —add —service= ssh” komutunu çalıştırın – “firewall-cmd –remove –service=ssh”). Güvenlik duvarı yapılandırmasını değiştirmek için güvenlik duvarı yapılandırması (GTK) grafik arayüzü ve güvenlik duvarı uygulaması (Qt) uygulaması da kullanılabilir. NetworkManager, libvirt, podman, docker ve fail2ban gibi projelerde D-BUS API güvenlik duvarı aracılığıyla güvenlik duvarı yönetimi desteği mevcuttur.
Sürüm numarasındaki önemli bir değişiklik, geriye dönük uyumluluğu bozan ve bölgelerle çalışma davranışını değiştiren değişikliklerle ilişkilidir. Bölgede tanımlanan tüm filtreleme parametreleri artık yalnızca Firewalld'un çalıştığı ana bilgisayara gönderilen trafiğe uygulanıyor ve geçiş trafiğinin filtrelenmesi politikaların ayarlanmasını gerektiriyor. En dikkat çekici değişiklikler:
- İptables üzerinde çalışmasına izin veren arka ucun eski olduğu ilan edildi. Öngörülebilir gelecekte iptables desteği sürdürülecek, ancak bu arka uç geliştirilmeyecek.
- Bölge içi yönlendirme modu, tüm yeni bölgeler için varsayılan olarak etkinleştirilir ve etkinleştirilir; paketlerin ağ arayüzleri veya bir bölge içindeki trafik kaynakları (genel, blok, güvenilir, dahili vb.) arasında serbestçe hareket etmesine olanak tanır. Eski davranışa dönmek ve paketlerin bir bölge içinde iletilmesini önlemek için “firewall-cmd –permanent –zone public –remove-forward” komutunu kullanabilirsiniz.
- Adres çevirisine (NAT) ilişkin kurallar “inet” protokol ailesine taşındı (daha önce “ip” ve “ip6” ailelerine eklenmişti; bu da IPv4 ve IPv6 için kuralların kopyalanması ihtiyacını doğurdu). Değişiklik, ipset kullanırken kopyalardan kurtulmamıza olanak sağladı; ipset girişlerinin üç kopyası yerine artık bir kopya kullanılıyor.
- "--set-target" parametresinde belirtilen "varsayılan" eylem artık "reddet"e eşdeğerdir, yani. bölgede tanımlanan kurallara uymayan tüm paketler varsayılan olarak engellenecektir. Yalnızca hala geçişine izin verilen ICMP paketleri için bir istisna yapılmıştır. Herkese açık olarak erişilebilen "güvenilir" bölgenin eski davranışını geri döndürmek için aşağıdaki kuralları kullanabilirsiniz: güvenlik duvarı-cmd —permanent —new-policy AllowForward güvenlik duvarı-cmd —permanent —policy AllowForward —set-target ACCEPT güvenlik duvarı-cmd —kalıcı — politika AllowForward —add-ingress-zone genel güvenlik duvarı-cmd —kalıcı —policy AllowForward —add-egress-zone güvenilir güvenlik duvarı-cmd —yeniden yükle
- Pozitif öncelikli politikalar artık "--set-target catch-all" kuralı yürütülmeden hemen önce yürütülüyor; son düşüşü eklemeden önce, “--set-target drop|reject|accept” kullanan bölgeler de dahil olmak üzere kuralları reddedin veya kabul edin.
- ICMP engelleme artık yalnızca geçerli ana bilgisayara (giriş) gönderilen gelen paketler için geçerli olup, bölgeler (ileri) arasında yeniden yönlendirilen paketleri etkilemez.
- TFTP protokolüne yönelik bağlantıları izlemek üzere tasarlanan ancak kullanılamaz durumda olan tftp-client hizmeti kaldırıldı.
- Hazır paket filtre kurallarının doğrudan eklenmesine olanak tanıyan "doğrudan" arayüz kullanımdan kaldırıldı. Yeniden yönlendirilen ve giden paketleri filtreleme özelliği eklendikten sonra bu arayüze olan ihtiyaç ortadan kalktı.
- Varsayılan olarak "hayır" olarak değiştirilen CleanupModulesOnExit parametresi eklendi. Bu parametreyi kullanarak, güvenlik duvarı kapandıktan sonra çekirdek modüllerinin boşaltılmasını kontrol edebilirsiniz.
- Hedef sistemi (hedefi) belirlerken ipset kullanımına izin verilir.
- WireGuard, Kubernetes ve netbios-ns hizmetleri için tanımlar eklendi.
- Zsh için otomatik tamamlama kuralları uygulandı.
- Python 2 desteği durduruldu.
- Bağımlılıkların listesi kısaltıldı. Firewalld'ın çalışması için Linux çekirdeğine ek olarak artık yalnızca dbus, gobject ve nftables python kitaplıklarına ihtiyaç duyulmakta olup, ebtables, ipset ve iptables paketleri isteğe bağlı olarak sınıflandırılmıştır. Python kütüphaneleri dekoratörü ve kayması bağımlılıklardan kaldırıldı.
Kaynak: opennet.ru