Dinamik boshqariladigan xavfsizlik devori 1.0 versiyasi taqdim etilgan bo'lib, u nftables va iptables paket filtrlari ustidan o'rash shaklida amalga oshiriladi. Xavfsizlik devori paket filtri qoidalarini qayta yuklamasdan yoki o'rnatilgan ulanishlarni buzmasdan D-Bus orqali paketli filtr qoidalarini dinamik ravishda o'zgartirish imkonini beruvchi fon jarayoni sifatida ishlaydi. Loyiha allaqachon ko'plab Linux distributivlarida, jumladan RHEL 7+, Fedora 18+ va SUSE/openSUSE 15+ da qo'llanilgan. Xavfsizlik devori kodi Python-da yozilgan va GPLv2 litsenziyasi ostida litsenziyalangan.
Xavfsizlik devorini boshqarish uchun xavfsizlik devori-cmd yordam dasturidan foydalaniladi, u qoidalarni yaratishda IP-manzillar, tarmoq interfeyslari va port raqamlariga emas, balki xizmatlar nomlariga asoslanadi (masalan, SSH-ga kirishni ochish uchun siz SSH-ni yopish uchun "xavfsizlik devori-cmd -add -service= ssh" ni ishga tushiring - "firewall-cmd -remove -service=ssh"). Xavfsizlik devori konfiguratsiyasini o'zgartirish uchun xavfsizlik devori-config (GTK) grafik interfeysi va xavfsizlik devori-applet (Qt) ilovasidan ham foydalanish mumkin. D-BUS API xavfsizlik devori orqali xavfsizlik devorini boshqarishni qo'llab-quvvatlash NetworkManager, libvirt, podman, docker va fail2ban kabi loyihalarda mavjud.
Versiya raqamining sezilarli o'zgarishi orqaga qarab muvofiqlikni buzadigan va zonalar bilan ishlash xatti-harakatlarini o'zgartiradigan o'zgarishlar bilan bog'liq. Hududda aniqlangan barcha filtrlash parametrlari endi faqat xavfsizlik devori ishlayotgan xostga yo'naltirilgan trafik uchun qo'llaniladi va tranzit trafigini filtrlash siyosatlarni o'rnatishni talab qiladi. Eng sezilarli o'zgarishlar:
- Iptables ustida ishlashga imkon beruvchi backend eskirgan deb e'lon qilindi. Iptables-ni qo'llab-quvvatlash yaqin kelajakda saqlanib qoladi, ammo bu backend ishlab chiqilmaydi.
- Zona ichidagi yo'naltirish rejimi barcha yangi zonalar uchun sukut bo'yicha yoqilgan va faollashtirilgan bo'lib, paketlarning tarmoq interfeyslari yoki bitta zonadagi trafik manbalari (ommaviy, blok, ishonchli, ichki va boshqalar) o'rtasida erkin harakatlanishiga imkon beradi. Eski xatti-harakatni qaytarish va paketlarni bitta zonada yo'naltirilishining oldini olish uchun siz "xavfsizlik devori-cmd - doimiy - umumiy zona - o'chirish - oldinga siljish" buyrug'idan foydalanishingiz mumkin.
- Manzil tarjimasi (NAT) bilan bog'liq qoidalar "inet" protokollar oilasiga ko'chirildi (ilgari "ip" va "ip6" oilalariga qo'shilgan, bu IPv4 va IPv6 uchun qoidalarni takrorlash zarurligiga olib keldi). O'zgartirish bizga ipset-dan foydalanganda dublikatlardan xalos bo'lish imkonini berdi - endi ipset yozuvlarining uchta nusxasi o'rniga bittasi ishlatiladi.
- "--set-target" parametrida ko'rsatilgan "standart" amal endi "rad etish" ga teng, ya'ni. zonada belgilangan qoidalarga to'g'ri kelmaydigan barcha paketlar sukut bo'yicha bloklanadi. Istisno faqat o'tishga ruxsat berilgan ICMP paketlari uchun qilingan. Hammaga ochiq “ishonchli” zona uchun eski xatti-harakatni qaytarish uchun quyidagi qoidalardan foydalanishingiz mumkin: xavfsizlik devori-cmd —doimiy —yangi-policy allowForward xavfsizlik devori-cmd —doimiy —policy allowForward —set-target ACCEPT firewall-cmd —doimiy — Policy allowForward —add-ingress -zone public firewall-cmd —doimiy —policy allowForward —add-egress-zone ishonchli xavfsizlik devori-cmd —qayta yuklash
- Ijobiy ustuvorlik siyosatlari endi "--set-target catch-all" qoidasi bajarilishidan oldin darhol amalga oshiriladi, ya'ni. oxirgi pasayishni qo'shishdan oldin, qoidalarni rad eting yoki qabul qiling, shu jumladan “--set-target drop|reject|accept” ishlatadigan zonalar uchun.
- ICMP blokirovkasi endi faqat joriy xostga (kirish) yuborilgan kiruvchi paketlar uchun amal qiladi va zonalar o'rtasida qayta yo'naltirilgan paketlarga ta'sir qilmaydi (oldinga).
- TFTP protokoli uchun ulanishlarni kuzatish uchun mo'ljallangan, lekin yaroqsiz shaklda bo'lgan tftp-mijoz xizmati olib tashlandi.
- "To'g'ridan-to'g'ri" interfeys bekor qilindi, bu esa tayyor paketli filtr qoidalarini to'g'ridan-to'g'ri kiritish imkonini beradi. Ushbu interfeysga bo'lgan ehtiyoj qayta yo'naltirilgan va chiquvchi paketlarni filtrlash qobiliyatini qo'shgandan so'ng yo'qoldi.
- Sukut bo'yicha "yo'q" ga o'zgartirilgan CleanupModulesOnExit parametri qo'shildi. Ushbu parametrdan foydalanib, siz xavfsizlik devori o'chirilgandan so'ng yadro modullarini tushirishni boshqarishingiz mumkin.
- Maqsadli tizimni (maqsadni) aniqlashda ipsetdan foydalanishga ruxsat beriladi.
- WireGuard, Kubernetes va netbios-ns xizmatlari uchun qo'shilgan ta'riflar.
- Zsh uchun avtomatik to'ldirish qoidalarini amalga oshirdi.
- Python 2-ni qo'llab-quvvatlash to'xtatildi.
- Bog'liqlar ro'yxati qisqartirildi. Xavfsizlik devori ishlashi uchun Linux yadrosiga qo'shimcha ravishda endi dbus, gobject va nftables yagona python kutubxonalari talab qilinadi va ebtables, ipset va iptables paketlari ixtiyoriy deb tasniflanadi. Python kutubxonalarining dekoratori va slipi bog'liqliklardan olib tashlandi.
Manba: opennet.ru