firewalld, un'eccellente utility che protegge e blocca il traffico di rete
Pochi giorni fa è stato annunciato il rilascio della nuova versione di firewalld 2.0, che è una versione principale che oltre a contrassegnare il cambio di ramo, il rilascio è dovuto alla correzione di problemi di policy, nonché a miglioramenti del supporto e altro ancora.
Per coloro che non sono a conoscenza di Firewalld, dovrebbero sapere che lo è implementato come wrapper sui filtri dei pacchetti nftables e iptables. Firewalld viene eseguito come processo in background che consente di modificare dinamicamente le regole del filtro dei pacchetti su D-Bus senza ricaricare le regole del filtro dei pacchetti e senza disconnettere le connessioni stabilite.
Per gestire il firewall viene utilizzata l'utility firewall-cmd che, durante la creazione delle regole, non si basa su indirizzi IP, interfacce di rete e numeri di porta, ma sui nomi dei servizi, ad esempio per aprire l'accesso a SSH, per chiudere SSH, tra gli altri.
Anche l'interfaccia grafica firewall-config (GTK) e l'applet firewall-applet (Qt). può essere utilizzato per modificare le impostazioni del firewall. Il supporto per la gestione tramite D-BUS API firewalld è disponibile in progetti come NetworkManager, libvirt, podman, docker e fail2ban.
Inoltre, firewalld mantiene separatamente una configurazione in esecuzione e una permanente. Pertanto, firewalld fornisce anche un'interfaccia per le applicazioni per aggiungere regole in modo conveniente.
Principali novità di firewalld 2.0
Come accennato all'inizio, questa versione si distingue per l'introduzione di modifiche ai criteri che violano la compatibilità con le versioni precedenti ed eliminano il problema con le regole di elaborazione che prescrivono l'elaborazione dei pacchetti in arrivo solo in relazione a una zona in una situazione in cui gli intervalli di indirizzi si sovrappongono ad altre zone (se gli intervalli di indirizzi nelle zone si sovrappongono, il pacchetto potrebbe rientrare in diverse zone , ignorando le regole specificate).
Altre modifiche che si distinguono in questa nuova versione di firewalld 2.0 sono le aggiunto il supporto per nftables, che consente di utilizzare il meccanismo di selezione del percorso di inoltro dei pacchetti della tabella di flusso, che può migliorare significativamente le prestazioni di inoltro del traffico.
Possiamo anche trovarlo aggiunta la configurazione NftablesCounters per utilizzare i contatori di pacchetti nftables. Firewalld con NftablesFlowtable abilitato ha aumentato le prestazioni di iperf con l'inoltro di rete di circa il 59%.
Oltre a ciò, possiamo anche scoprire che aggiunto il supporto per l'impostazione di priorità diverse per le zone, che consente all'utente di controllare l'ordine in cui i pacchetti entrano nelle zone.
D'altra parte, vale la pena menzionarlo in Firewalld 2.0 il servizio client TFTP è stato rimosso, che sostanzialmente non ha funzionato come previsto, poiché è stato incorporato per consentire il potere accedere ai server. Che "non ha mai effettivamente funzionato" quando aggiunto a una zona.
Delle altre modifiche che si distinguono da questa nuova versione:
- Aggiunti servizi per supportare Zabbix Java Gateway e Zabbix Web Service.
- Aggiunti servizi che supportano Minecraft, 0AD, anno 1602, anno 1800, Civilization IV, Civilization V, factorio, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, Super Tux kart, Terraria, Zero K e Settlers.
- Servizio aggregato per OpenTelemetry (OTLP).
- Inoltre, le politiche hanno ignorato alcune regole di vecchia data sull'area.
– Le fonti vengono sempre inviate prima delle interfacce
– Le fonti sono ordinate per nome di zona
Se sei interessato a saperne di più su questa nuova versione, puoi consultare i dettagli nel seguente link
Ottieni Firewalld
Finalmente per chi lo è interessati a poter installare questo firewall, dovresti sapere che il progetto è già in uso su molte distribuzioni Linux, tra cui RHEL 7+, Fedora 18+ e SUSE/openSUSE 15+. Il codice firewalld è scritto in Python ed è rilasciato sotto licenza GPLv2.
Puoi ottenere il codice sorgente per la tua build dal link sottostante.