ProHoster > Блог > ayelujara iroyin > Firewalld 1.0 idasilẹ

Firewalld 1.0 idasilẹ

Itusilẹ ti ogiriina ti o ni agbara ti iṣakoso 1.0 ti gbekalẹ, ti a ṣe imuse ni irisi ipari lori awọn asẹ nftables ati awọn asẹ iptables. Firewalld nṣiṣẹ bi ilana isale ti o fun ọ laaye lati yi awọn ofin àlẹmọ apo-iwe pada ni agbara nipasẹ D-Bus laisi nini lati tun gbe awọn ofin àlẹmọ apo tabi fifọ awọn asopọ ti iṣeto. Ise agbese na ti lo tẹlẹ ni ọpọlọpọ awọn pinpin Linux, pẹlu RHEL 7+, Fedora 18+ ati SUSE/ openSUSE 15+. Awọn koodu firewalld ti kọ ni Python ati pe o ni iwe-aṣẹ labẹ iwe-aṣẹ GPLv2.

Lati ṣakoso awọn ogiriina, lilo ogiriina-cmd ti lo, eyiti, nigba ṣiṣẹda awọn ofin, ko da lori awọn adirẹsi IP, awọn atọkun nẹtiwọki ati awọn nọmba ibudo, ṣugbọn lori awọn orukọ awọn iṣẹ (fun apẹẹrẹ, lati ṣii iwọle si SSH o nilo lati ṣiṣẹ “ogiriina-cmd — add —iṣẹ = ssh”, lati pa SSH – “firewall-cmd –remove –service=ssh”). Lati yi awọn ogiriina iṣeto ni, ogiriina-konfigi (GTK) ayaworan ni wiwo ati ogiriina-applet (Qt) applet tun le ṣee lo. Atilẹyin fun iṣakoso ogiriina nipasẹ ogiriina D-BUS API wa ni awọn iṣẹ akanṣe bii NetworkManager, libvirt, podman, docker ati fail2ban.

Iyipada pataki ninu nọmba ikede naa ni nkan ṣe pẹlu awọn iyipada ti o fọ ibamu sẹhin ati yi ihuwasi ti ṣiṣẹ pẹlu awọn agbegbe. Gbogbo awọn paramita sisẹ ti a ṣalaye ni agbegbe ti wa ni lilo nikan si ijabọ ti a koju si agbalejo eyiti firewalld n ṣiṣẹ, ati sisẹ ijabọ irekọja nilo eto imulo. Awọn iyipada ti o ṣe akiyesi julọ:

  • Atilẹyin ti o fun laaye laaye lati ṣiṣẹ lori oke awọn iptables ni a ti kede pe ko ti pẹ. Atilẹyin fun awọn iptables yoo wa ni itọju fun ọjọ iwaju ti a le rii, ṣugbọn ẹhin yii kii yoo ni idagbasoke.
  • Ipo ifiranšẹ agbegbe-intra-zone ti ṣiṣẹ ati muu ṣiṣẹ nipasẹ aiyipada fun gbogbo awọn agbegbe titun, gbigba gbigbe laaye ti awọn apo-iwe laarin awọn atọkun nẹtiwọọki tabi awọn orisun ijabọ laarin agbegbe kan (gbangba, bulọki, igbẹkẹle, inu, ati bẹbẹ lọ). Lati da ihuwasi atijọ pada ati ṣe idiwọ awọn apo-iwe lati firanṣẹ siwaju laarin agbegbe kan, o le lo aṣẹ “ogiriina-cmd –permanent –zone gbangba –yọ-siwaju”.
  • Awọn ofin ti o ni ibatan si itumọ adirẹsi (NAT) ti gbe lọ si idile ilana ilana “inet” (ti a ṣafikun tẹlẹ si awọn idile “ip” ati “ip6”, eyiti o yori si iwulo lati ṣe ẹda awọn ofin fun IPv4 ati IPv6). Iyipada naa gba wa laaye lati yọ awọn ẹda-iwe kuro nigba lilo ipset - dipo awọn ẹda mẹta ti awọn titẹ sii ipset, ọkan ti lo bayi.
  • Iṣe “aiyipada” ti a tọka si ninu paramita “-set-target” ti jẹ deede bayi si “kọ”, i.e. gbogbo awọn apo-iwe ti ko ṣubu labẹ awọn ofin ti a ṣalaye ni agbegbe naa yoo dina nipasẹ aiyipada. Iyatọ kan jẹ fun awọn apo-iwe ICMP nikan, eyiti o tun gba laaye nipasẹ. Lati da ihuwasi atijọ pada fun agbegbe “igbẹkẹle” ti o wa ni gbangba, o le lo awọn ofin wọnyi: firewall-cmd —permanent — titun-eto imulo allowForward firewall-cmd —permanent —policy allowForward —set-target ACCEPT firewall-cmd —permanent — eto imulo faye gbaForward — add-ingress -zone gbangba ogiriina-cmd — yẹ — eto imulo allowForward — add-egress-zone ti o gbẹkẹle ogiriina-cmd — tun gbee si
  • Awọn eto imulo ayo to dara ti wa ni ṣiṣe lẹsẹkẹsẹ ṣaaju ṣiṣe ofin “--set-target catch-all” ti wa ni ṣiṣe, i.e. ni akoko ki o to fi ipari silẹ, kọ tabi gba awọn ofin, pẹlu fun awọn agbegbe ti o nlo "--set-target drop|reject|gba".
  • Idinamọ ICMP ni bayi kan si awọn apo-iwe ti nwọle ti a koju si agbalejo lọwọlọwọ (igbewọle) ati pe ko kan awọn apo-iwe ti a darí laarin awọn agbegbe (siwaju).
  • Iṣẹ tftp-onibara, ti a ṣe lati tọpa awọn asopọ fun ilana TFTP, ṣugbọn o wa ni fọọmu ti ko ṣee lo, ti yọkuro.
  • Ni wiwo “taara” ni a ti parẹ, gbigba awọn ofin àlẹmọ soso ti a ti ṣetan lati fi sii taara. Iwulo fun wiwo yii parẹ lẹhin fifi agbara lati ṣe àlẹmọ ti a darí ati awọn apo-iwe ti njade.
  • Ti ṣafikun CleanupModulesOnExit paramita, eyiti o yipada si “Bẹẹkọ” nipasẹ aiyipada. Lilo paramita yii, o le ṣakoso ikojọpọ awọn modulu ekuro lẹhin ti o ti pa firewalld.
  • Ti gba laaye lati lo ipset nigba ti npinnu eto ibi-afẹde (ilọsiwaju).
  • Awọn asọye ti a ṣafikun fun WireGuard, Kubernetes ati awọn iṣẹ netbios-ns.
  • Awọn ofin imuse adaṣe fun zsh.
  • Atilẹyin fun Python 2 ti dawọ duro.
  • Akojọ awọn igbẹkẹle ti kuru. Fun ogiriina lati ṣiṣẹ, ni afikun si ekuro Linux, awọn ile-ikawe Python nikan dbus, gobject ati nftables ni a nilo ni bayi, ati awọn idii ebtables, ipset ati awọn idii iptables jẹ ipin bi iyan. Ohun ọṣọ awọn ile ikawe Python ati isokuso ti yọkuro lati awọn igbẹkẹle.

orisun: opennet.ru

Fi ọrọìwòye kun