پرو ہوسٹر > بلاگ > انٹرنیٹ کی خبریں > فائر والڈ 1.0 ریلیز

فائر والڈ 1.0 ریلیز

متحرک طور پر کنٹرول شدہ فائر وال فائر والڈ 1.0 کی ریلیز پیش کی گئی ہے، جسے nftables اور iptables پیکٹ فلٹرز پر ایک ریپر کی شکل میں لاگو کیا گیا ہے۔ فائر والڈ ایک پس منظر کے عمل کے طور پر چلتا ہے جو آپ کو پیکٹ فلٹر کے قواعد کو دوبارہ لوڈ کیے بغیر یا قائم کردہ کنکشن کو توڑے بغیر D-Bus کے ذریعے پیکٹ فلٹر کے قواعد کو متحرک طور پر تبدیل کرنے کی اجازت دیتا ہے۔ یہ پروجیکٹ پہلے ہی لینکس کی بہت سی تقسیموں میں استعمال ہو چکا ہے، بشمول RHEL 7+، Fedora 18+ اور SUSE/openSUSE 15+۔ فائر والڈ کوڈ Python میں لکھا گیا ہے اور GPLv2 لائسنس کے تحت لائسنس یافتہ ہے۔

فائر وال کو منظم کرنے کے لیے، فائر وال سی ایم ڈی یوٹیلیٹی استعمال کی جاتی ہے، جو کہ اصول بناتے وقت آئی پی ایڈریس، نیٹ ورک انٹرفیس اور پورٹ نمبرز پر مبنی نہیں ہوتی، بلکہ خدمات کے ناموں پر ہوتی ہے (مثال کے طور پر، SSH تک رسائی کھولنے کے لیے آپ کو SSH کو بند کرنے کے لیے "firewall-cmd —add —service=ssh" چلائیں - "firewall-cmd -remove -service=ssh")۔ فائر وال کنفیگریشن کو تبدیل کرنے کے لیے، فائر وال کنفیگریشن (GTK) گرافیکل انٹرفیس اور فائر وال ایپلٹ (Qt) ایپلٹ بھی استعمال کیا جا سکتا ہے۔ D-BUS API فائر والڈ کے ذریعے فائر وال مینجمنٹ کے لیے سپورٹ نیٹ ورک مینجر، libvirt، podman، docker اور fail2ban جیسے پروجیکٹس میں دستیاب ہے۔

ورژن نمبر میں ایک اہم تبدیلی ان تبدیلیوں سے وابستہ ہے جو پسماندہ مطابقت کو توڑتی ہیں اور زونز کے ساتھ کام کرنے کے رویے کو تبدیل کرتی ہیں۔ زون میں متعین کردہ تمام فلٹرنگ پیرامیٹرز اب صرف اس ہوسٹ کو بھیجی جانے والی ٹریفک پر لاگو ہوتے ہیں جس پر فائر والڈ چل رہا ہے، اور ٹرانزٹ ٹریفک کو فلٹر کرنے کے لیے پالیسیاں ترتیب دینے کی ضرورت ہوتی ہے۔ سب سے نمایاں تبدیلیاں:

  • بیک اینڈ جس نے اسے iptables کے اوپر کام کرنے کی اجازت دی اسے متروک قرار دے دیا گیا ہے۔ iptables کے لیے تعاون کو مستقبل قریب کے لیے برقرار رکھا جائے گا، لیکن یہ پس منظر تیار نہیں کیا جائے گا۔
  • انٹرا زون فارورڈنگ موڈ تمام نئے زونز کے لیے بطور ڈیفالٹ فعال اور فعال ہے، جس سے نیٹ ورک انٹرفیس یا ٹریفک ذرائع کے درمیان ایک زون (عوامی، بلاک، قابل اعتماد، اندرونی، وغیرہ) کے درمیان پیکٹوں کی آزادانہ نقل و حرکت کی اجازت دی جاتی ہے۔ پرانے رویے کو واپس کرنے اور پیکٹوں کو ایک زون میں فارورڈ ہونے سے روکنے کے لیے، آپ کمانڈ استعمال کر سکتے ہیں "firewall-cmd -permanent -zone public -remove-forward"۔
  • ایڈریس ٹرانسلیشن (NAT) سے متعلق قواعد کو "inet" پروٹوکول فیملی میں منتقل کر دیا گیا ہے (پہلے "ip" اور "ip6" فیملیز میں شامل کیا گیا تھا، جس کی وجہ سے IPv4 اور IPv6 کے لیے ڈپلیکیٹ قوانین کی ضرورت پیش آئی)۔ تبدیلی نے ہمیں ipset استعمال کرتے وقت ڈپلیکیٹس سے چھٹکارا حاصل کرنے کی اجازت دی - ipset اندراجات کی تین کاپیوں کے بجائے، اب ایک استعمال کیا جاتا ہے۔
  • "--set-target" پیرامیٹر میں بیان کردہ "پہلے سے طے شدہ" عمل اب "مسترد" کے مترادف ہے، یعنی تمام پیکٹ جو زون میں بیان کردہ اصولوں کے تحت نہیں آتے ہیں، پہلے سے طے شدہ طور پر بلاک کر دیے جائیں گے۔ ایک استثناء صرف ICMP پیکٹوں کے لیے بنایا گیا ہے، جن کے ذریعے اب بھی اجازت ہے۔ عوامی طور پر قابل رسائی "قابل اعتماد" زون کے لیے پرانے رویے کو واپس کرنے کے لیے، آپ درج ذیل اصول استعمال کر سکتے ہیں: firewall-cmd —permanent —new-policy allowForward firewall-cmd —permanent —policy allowForward —set-taget ACCEPT firewall-cmd — مستقل — پالیسی کی اجازت فارورڈ — ایڈ-انگریس-زون پبلک فائر وال-سی ایم ڈی — مستقل — پالیسی کی اجازت فارورڈ — ایڈ-ایگریس زون قابل اعتماد فائر وال-سی ایم ڈی — دوبارہ لوڈ
  • مثبت ترجیحی پالیسیوں کو اب "--set-target catch-all" کے اصول پر عمل درآمد سے پہلے فوری طور پر عمل میں لایا جاتا ہے، یعنی حتمی ڈراپ شامل کرنے سے پہلے اس وقت، قواعد کو مسترد یا قبول کریں، بشمول ان زونز کے لیے جو "--set-target drop|reject|accept" استعمال کرتے ہیں۔
  • ICMP بلاک کرنا اب صرف موجودہ میزبان (ان پٹ) کو ایڈریس کردہ آنے والے پیکٹوں پر لاگو ہوتا ہے اور زونز (فارورڈ) کے درمیان ری ڈائریکٹ کیے گئے پیکٹوں کو متاثر نہیں کرتا ہے۔
  • tftp-کلائنٹ سروس، جو TFTP پروٹوکول کے کنکشن کو ٹریک کرنے کے لیے بنائی گئی تھی، لیکن ناقابل استعمال شکل میں تھی، ہٹا دی گئی ہے۔
  • "براہ راست" انٹرفیس کو فرسودہ کر دیا گیا ہے، جس سے ریڈی میڈ پیکٹ فلٹر کے اصول براہ راست داخل کیے جا سکتے ہیں۔ ری ڈائریکٹ اور آؤٹ گوئنگ پیکٹ کو فلٹر کرنے کی صلاحیت شامل کرنے کے بعد اس انٹرفیس کی ضرورت ختم ہو گئی۔
  • CleanupModulesOnExit پیرامیٹر شامل کیا گیا، جسے بطور ڈیفالٹ "نہیں" میں تبدیل کر دیا گیا ہے۔ اس پیرامیٹر کا استعمال کرتے ہوئے، آپ فائر والڈ کے بند ہونے کے بعد کرنل ماڈیولز کی ان لوڈنگ کو کنٹرول کر سکتے ہیں۔
  • ہدف کے نظام (منزل) کا تعین کرتے وقت ipset استعمال کرنے کی اجازت ہے۔
  • WireGuard، Kubernetes اور netbios-ns سروسز کے لیے تعریفیں شامل کی گئیں۔
  • zsh کے لیے خودکار تکمیل کے قوانین کا نفاذ۔
  • Python 2 کی سپورٹ بند کر دی گئی ہے۔
  • انحصار کی فہرست کو مختصر کر دیا گیا ہے۔ فائر والڈ کے کام کرنے کے لیے، لینکس کرنل کے علاوہ، اب صرف python لائبریریوں dbus، gobject اور nftables کی ضرورت ہے، اور ebtables، ipset اور iptables پیکیجز کو اختیاری کے طور پر درجہ بندی کیا گیا ہے۔ python لائبریریوں کے ڈیکوریٹر اور پرچی کو انحصار سے ہٹا دیا گیا ہے۔

ماخذ: opennet.ru

نیا تبصرہ شامل کریں