Firewalld, et fremragende firewall-styringsværktøj

Mest Linux-distributioner har deres egne firewall-tjenester præbygget, så brugeren normalt ikke skal gribe ind i denne del. Men nogle gange er en form for speciel konfiguration nødvendig eller til hvad brugeren ellers ønsker.

Og det er derfor i dag lad os tale firewalld, hvilken er en dynamisk overskuelig firewall, giver dig grundlæggende mulighed for at administrere firewallen med understøttelse af netværkszoner for at definere tillidsniveauet for de netværk eller grænseflader, du bruger til at oprette forbindelse. Det har understøttelse af IPv4, IPv6 og ethernet brokonfigurationer.

Om Firewalld

Firewalld er implementeret som en indpakning over nftables og iptables pakkefiltre. Firewalld kører som en baggrundsproces, der gør det muligt at ændre pakkefilterregler dynamisk over D-Bus uden at genindlæse pakkefilterregler og uden at afbryde etablerede forbindelser.

Til at styre firewallen bruges firewall-cmd-værktøjet, som ved oprettelse af regler ikke er baseret på IP-adresser, netværksgrænseflader og portnumre, men på navnene på tjenester, for eksempel for at åbne adgang til SSH, for at lukke SSH, blandt andre.

Firewall-config (GTK) grafisk grænseflade og firewall-applet (Qt) applet også kan bruges til at ændre firewall-indstillinger. Support til administration via D-BUS API firewalld er tilgængelig i projekter som NetworkManager, libvirt, podman, docker og fail2ban.

Derudover firewalld opretholder en kørende og en permanent konfiguration separat. Firewalld giver således også en grænseflade til applikationer til at tilføje regler på en bekvem måde.

Den tidligere model (system-config-firewall/lokkit) var statisk, og hver ændring krævede en hård genstart. Dette betød, at man skulle aflæse kernemodulerne (f.eks. netfilter) og genindlæse dem ved hver konfiguration. Derudover betød denne genstart, at man mistede statusoplysningerne for de etablerede forbindelser.

Firewalld kræver derimod ikke en genstart af tjenesten for at anvende en ny konfiguration. Derfor er det ikke nødvendigt at genindlæse kernemodulerne. Den eneste ulempe er, at for at alt dette skal fungere korrekt, skal konfigurationen udføres gennem firewalld og dens konfigurationsværktøjer (firewall-cmd eller firewall-config). Firewalld er i stand til at tilføje regler ved hjælp af samme syntaks som {ip,ip6,eb}tables-kommandoerne (direkte regler).

Firewalld 1.3

I øjeblikket er Firewalld i sin version 1.3, som for nylig blev udgivet, og den fremhæver følgende ændringer:

• En tjeneste, der er kompatibel med Warpinator-fildelingsapplikationen udviklet af Linux Mint-distributionen, er blevet implementeret.
• Tilføjet bareos-director, bareos-filedaemon og bareos-storage-tjenester for at understøtte Bareos backup-systemet.
• Der er implementeret en maskeringsregel for nftables-backend, som giver dig mulighed for at binde netværksgrænseflader til en zone, der behandler indgående trafik. For iptables-backend er denne funktion ikke understøttet.
• Tilføjet service til overlay P2P-netværk af Nebula.
• Tilføjet en service til Ceph metrics-eksportsystemet til Prometheus-databasen.
• Tilføjet en tjeneste, der understøtter OMG DDS (Object Management Group Data Distribution Service) protokollen.
• En tjeneste er blevet tilføjet til at behandle klientanmodninger for at bestemme værtsnavne ved hjælp af LLMNR-protokollen (Link-Local Multicast Name Resolution).
• Tilføjet en tjeneste til ps2link-protokollen, der bruges til at kommunikere med PlayStation 2-spilkonsoller.
• En tjeneste er blevet tilføjet for at understøtte serverdrift for Syncthing-filsynkroniseringssystemet.

Hvis du er interesseret i at vide mere om denne nye version, kan du se detaljerne i følgende link.

Hent Firewalld

Endelig for dem, der er interesseret i at kunne installere denne firewall, skal du vide, at projektet allerede er i brug på mange Linux-distributioner, inklusive RHEL 7+, Fedora 18+ og SUSE/openSUSE 15+. Firewall-koden er skrevet i Python og frigives under GPLv2-licensen.

Du kan få kildekoden til din build fra nedenstående link.