Firewall, suurepärane tulemüürihaldustööriist

Kõige Linuxi distributsioonidel on oma tulemüüriteenused eelehitatud, nii et kasutaja ei pea tavaliselt sellesse ossa sekkuma. Kuid mõnikord on vaja mingit erikonfiguratsiooni või milleks muuks kasutaja soovib.

Ja sellepärast täna räägime tulemüürist, mis on dünaamiline juhitav tulemüür, Põhimõtteliselt võimaldab teil hallata tulemüüri võrgutsoonide toega, et määrata ühenduse loomiseks kasutatavate võrkude või liideste usaldustase. Sellel on tugi IPv4, IPv6 ja Etherneti sildade konfiguratsioonidele.

Firewalli kohta

Tulemüür on rakendatakse paketifiltrite nftables ja iptables ümbrisena. Firewalld töötab taustprotsessina, mis võimaldab pakettfiltri reegleid dünaamiliselt muuta D-Busi kaudu ilma pakettfiltri reegleid uuesti laadimata ja loodud ühendusi katkestamata.

Tulemüüri haldamiseks kasutatakse utiliiti firewall-cmd, mis reeglite loomisel ei põhine mitte IP-aadressidel, võrguliidestel ja pordinumbritel, vaid teenuste nimetustel, näiteks SSH-le juurdepääsu avamiseks, sulgemiseks. SSH muu hulgas.

Firewall-config (GTK) graafiline liides ja tulemüüri aplet (Qt) saab kasutada tulemüüri sätete muutmiseks. D-BUS API tulemüüri kaudu haldamise tugi on saadaval sellistes projektides nagu NetworkManager, libvirt, podman, docker ja fail2ban.

Lisaks Firewalld hooldab töötavat ja püsivat konfiguratsiooni eraldi. Seega pakub tulemüür ka rakendustele liidest reeglite mugavaks lisamiseks.

Eelmine mudel (system-config-firewall/lokkit) oli staatiline ja iga muudatus nõudis kõva taaskäivitamist. See tähendas, et tuli tuumamoodulid (nt netfilter) maha laadida ja uuesti laadida iga konfiguratsiooni korral. Lisaks tähendas see taaskäivitamine loodud ühenduste olekuinfo kadumist.

Seevastu tulemüür ei vaja uue konfiguratsiooni rakendamiseks teenuse taaskäivitamist. Seetõttu ei ole vaja kerneli mooduleid uuesti laadida. Ainsaks puuduseks on see, et kõige selle korrektseks toimimiseks tuleb konfigureerimine teha läbi tulemüüri ja selle konfiguratsioonitööriistade (firewall-cmd või firewall-config). Firewalld on võimeline lisama reegleid, kasutades sama süntaksit nagu käskudel {ip,ip6,eb} (otsesed reeglid).

Tulemüür 1.3

Praegu on Firewalldi versioon 1.3, mis avaldati hiljuti ja see tõstab esile järgmised muudatused:

• Rakendatud on Linux Mint distributsiooni poolt välja töötatud failijagamisrakendusega Warpinator ühilduv teenus.
• Lisati Bareos-direktori, bareos-filedaemoni ja bareos-salvestusteenused, et toetada Bareose varundussüsteemi.
• Nftablesi taustaprogrammi jaoks on rakendatud maskeerimisreegel, mis võimaldab siduda võrguliideseid tsooniga, mis töötleb sissetulevat liiklust. IPtablesi taustaprogrammi puhul seda funktsiooni ei toetata.
• Lisatud teenus Nebula ülekattega P2P-võrkudele.
• Lisati Prometheuse andmebaasi teenus Ceph mõõdikute ekspordisüsteemi jaoks.
• Lisatud on teenus, mis toetab OMG DDS (Object Management Group Data Distribution Service) protokolli.
• Lisatud on teenus klientide päringute töötlemiseks hostinimede määramiseks, kasutades protokolli LLMNR (Link-Local Multicast Name Resolution).
• Lisati teenus ps2linki protokollile, mida kasutatakse PlayStation 2 mängukonsoolidega suhtlemiseks.
• Failide sünkroonimissüsteemi serveri toimimise toetamiseks on lisatud teenus.

Kui soovite selle uue versiooni kohta rohkem teada saada, vaadake üksikasju jaotisest järgmine link.

Hankige tulemüür

Lõpuks neile, kes on huvitatud selle tulemüüri installimisest, peaksite teadma, et projekt on juba kasutusel paljudes Linuxi distributsioonides, sealhulgas RHEL 7+, Fedora 18+ ja SUSE/openSUSE 15+. Tulemüüri kood on kirjutatud Pythonis ja see on välja antud GPLv2 litsentsi alusel.

Saate hankida oma konstruktsiooni lähtekoodi allolevalt lingilt.