Firewalld, отличен инструмент за управление на защитна стена

най-много Linux дистрибуциите имат свои собствени услуги за защитна стена предварително изградени, така че потребителят обикновено не трябва да се намесва в тази част. Но понякога е необходима някаква специална конфигурация или за каквото друго потребителят иска.

И затова днес нека поговорим за защитна стенакойто е динамична управляема защитна стена, основно ви позволява да управлявате защитната стена с поддръжка на мрежови зони, за да определите нивото на доверие на мрежите или интерфейсите, които използвате за свързване. Има поддръжка за IPv4, IPv6 и Ethernet мостови конфигурации.

Относно Firewalld

Firewalld е имплементиран като обвивка върху филтрите за пакети nftables и iptables. Firewalld работи като фонов процес, който позволява правилата за филтриране на пакети да се променят динамично през D-Bus без презареждане на правилата за филтриране на пакети и без прекъсване на установени връзки.

За управление на защитната стена се използва помощната програма firewall-cmd, която при създаване на правила се основава не на IP адреси, мрежови интерфейси и номера на портове, а на имена на услуги, например за отваряне на достъп до SSH, за затваряне SSH, между другото.

Графичният интерфейс на защитната стена (GTK) и аплетът на защитната стена (Qt) също може да се използва за промяна на настройките на защитната стена. Поддръжка за управление чрез D-BUS API защитна стена е налична в проекти като NetworkManager, libvirt, podman, docker и fail2ban.

Освен това, firewalld поддържа работеща и постоянна конфигурация отделно. По този начин firewalld предоставя и интерфейс за приложения за добавяне на правила по удобен начин.

Предишният модел (system-config-firewall/lokkit) беше статичен и всяка промяна изискваше твърдо рестартиране. Това означаваше да трябва да разтоварите модулите на ядрото (напр.: netfilter) и да ги презаредите при всяка конфигурация. Освен това това рестартиране означаваше загуба на информацията за състоянието на установените връзки.

За разлика от това, firewalld не изисква рестартиране на услугата, за да приложи нова конфигурация. Следователно не е необходимо да презареждате модулите на ядрото. Единственият недостатък е, че за да работи всичко това правилно, конфигурацията трябва да се извърши чрез firewalld и неговите инструменти за конфигуриране (firewall-cmd или firewall-config). Firewalld може да добавя правила, използвайки същия синтаксис като командите {ip,ip6,eb}tables (директни правила).

Защитна стена 1.3

В момента Firewalld е в своята версия 1.3, която беше пусната наскоро и подчертава следните промени:

• Внедрена е услуга, съвместима с приложението за споделяне на файлове Warpinator, разработено от дистрибуцията Linux Mint.
• Добавени са услугите bareos-director, bareos-filedaemon и bareos-storage за поддръжка на системата за архивиране Bareos.
• За бекенда на nftables е въведено правило за маскиране, което ви позволява да обвържете мрежови интерфейси към зона, която обработва входящия трафик. За бекенда на iptables тази функция не се поддържа.
• Добавена услуга за наслагване на P2P мрежи на Nebula.
• Добавена е услуга за системата за експортиране на показатели Ceph към базата данни Prometheus.
• Добавена е услуга, която поддържа протокола OMG DDS (Object Management Group Data Distribution Service).
• Добавена е услуга за обработка на клиентски заявки за определяне на имена на хостове с помощта на протокола LLMNR (Link-Local Multicast Name Resolution).
• Добавена е услуга за протокола ps2link, използван за комуникация с игрови конзоли PlayStation 2.
• Добавена е услуга за поддръжка на работата на сървъра за системата за синхронизиране на файлове Syncthing.

Ако се интересувате да научите повече за тази нова версия, можете да се консултирате с подробностите в следваща връзка.

Вземете Firewalld

И накрая за тези, които са интересуват се от възможността да инсталират тази защитна стена, трябва да знаете, че проектът вече се използва в много Linux дистрибуции, включително RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Кодът на защитната стена е написан на Python и е издаден под лиценз GPLv2.

Можете да получите изходния код за вашата компилация от линка по-долу.