動態控制防火牆firewalld 1.2 版本已經發布,以 nftables 和 iptables 封包過濾器包裝器的形式實作。 Firewalld 作為後台程序運行,可讓您透過 D-Bus 動態變更資料包過濾規則,而無需重新載入資料包過濾規則或中斷已建立的連線。 該專案已在許多 Linux 發行版中使用,包括 RHEL 7+、Fedora 18+ 和 SUSE/openSUSE 15+。 Firewalld 程式碼是用 Python 編寫的,並根據 GPLv2 許可證獲得許可。
要管理防火牆,請使用firewall-cmd實用程序,該實用程式在建立規則時不是基於IP位址、網路介面和連接埠號,而是基於服務名稱(例如,要開放對SSH的訪問,您需要執行「firewall -cmd —add —service=ssh”,關閉SSH –“firewall-cmd –remove –service=ssh”)。 若要變更防火牆配置,也可以使用firewall-config (GTK) 圖形介面和firewall-applet (Qt) applet。 NetworkManager、libvirt、podman、docker 和fail2ban 等專案支援透過 D-BUS APIfirewalld 進行防火牆管理。
主要變化:
- snmptls 和 snmptls-trap 服務已實現,用於透過安全通訊通道處理對 SNMP 協定的存取。
- 已實作支援去中心化檔案系統 IPFS 中使用的協定的服務。
- 新增了支援 gpsd、ident、ps3netsrv、CrateDB、checkmk、netdata、Kodi JSON-RPC、EventServer、Prometheus node-exporter、kubelet-readonly 以及安全版本的 k8s 控制器平面的服務。
- 新增了“--log-target”選項。
- 新增了故障安全啟動模式,當指定規則出現問題時,該模式允許回滾到預設配置,而不會導致主機不受保護。
- Bash 現在支援使用規則的命令完成。
來源: opennet.ru