發布了動態控制防火牆firewalld 1.0,以nftables 和iptables 封包過濾器包裝器的形式實作。 Firewalld 作為後台程序運行,可讓您透過 D-Bus 動態變更資料包過濾規則,而無需重新載入資料包過濾規則或中斷已建立的連線。 該專案已在許多 Linux 發行版中使用,包括 RHEL 7+、Fedora 18+ 和 SUSE/openSUSE 15+。 Firewalld 程式碼是用 Python 編寫的,並根據 GPLv2 許可證獲得許可。
要管理防火牆,請使用firewall-cmd實用程序,該實用程式在建立規則時不是基於IP位址、網路介面和連接埠號,而是基於服務名稱(例如,要開放對SSH的訪問,您需要執行「firewall -cmd —add —service=ssh”,關閉SSH –“firewall-cmd –remove –service=ssh”)。 若要變更防火牆配置,也可以使用firewall-config (GTK) 圖形介面和firewall-applet (Qt) applet。 NetworkManager、libvirt、podman、docker 和fail2ban 等專案支援透過 D-BUS APIfirewalld 進行防火牆管理。
版本號的重大變更與破壞向後相容性並更改區域使用行為的變更相關。 區域中定義的所有過濾參數現在僅套用於發送至運行firewalld 的主機的流量,且過濾中轉流量需要設定策略。 最明顯的變化:
- 允許它在 iptables 之上工作的後端已被宣布過時。 在可預見的將來,將維持對 iptables 的支持,但不會開發在後端。
- 預設情況下,所有新區域都會啟用並啟動區域內轉送模式,允許封包在一個區域內的網路介面或流量來源(公共、封鎖、受信任、內部等)之間自由移動。 若要傳回舊行為並阻止封包在一個區域內轉發,您可以使用指令「firewall-cmd –permanent –zone public –remove-forward」。
- 與位址轉換 (NAT) 相關的規則已移至「inet」協定族(先前已新增至「ip」和「ip6」族,這導致需要重複 IPv4 和 IPv6 的規則)。 這項變更使我們能夠在使用 ipset 時消除重複項 - 現在使用 ipset 條目,而不是三份 ipset 條目。
- “--set-target”參數中指定的“預設”操作現在相當於“拒絕”,即預設情況下,所有不屬於區域中定義的規則的資料包都將被阻止。 僅 ICMP 封包例外,仍允許通過。 若要傳回可公開存取的「受信任」區域的舊行為,您可以使用以下規則:firewall-cmd —permanent —new-policyallowForwardfirewall-cmd —permanent —policyallowForward —set-target ACCEPTfirewall-cmd —permanent —策略allowForward —add -ingress-zone 公共防火牆-cmd —permanent —策略allowForward —add-egress-zone 受信任的防火牆-cmd —reload
- 現在,在執行「--set-target catch-all」規則之前立即執行正優先級策略,即在新增最終丟棄、拒絕或接受規則之前的那一刻,包括使用「--set-target drop|reject|accept」的區域。
- ICMP 封鎖現在僅適用於尋址到目前主機(輸入)的傳入封包,並且不會影響在區域之間重定向的封包(轉送)。
- tftp-client 服務旨在追蹤 TFTP 協定的連接,但處於不可用的形式,已被刪除。
- 「直接」介面已被棄用,允許直接插入現成的資料包過濾規則。 增加過濾重定向和傳出封包的功能後,對該介面的需求就消失了。
- 新增 CleanupModulesOnExit 參數,預設更改為“no”。 使用此參數,您可以控制firewalld關閉後核心模組的卸載。
- 確定目標系統(destination)時允許使用ipset。
- 新增了 WireGuard、Kubernetes 和 netbios-ns 服務的定義。
- 為 zsh 實作了自動完成規則。
- Python 2 支援已停止。
- 依賴項清單已縮短。 要讓 Firewalld 正常運作,除了 Linux 核心之外,現在只需要 Python 函式庫 dbus、gobject 和 nftables,而 ebtables、ipset 和 iptables 套件被列為選用套件。 python 庫裝飾器和 slip 已從依賴項中刪除。
來源: opennet.ru