Firewalld, כלי מעולה לניהול חומת אש

רוב להפצות לינוקס יש שירותי חומת אש משלהן בנוי מראש, כך שהמשתמש בדרך כלל לא צריך להתערב בחלק הזה. אבל לפעמים יש צורך בסוג של תצורה מיוחדת או לכל מה שהמשתמש רוצה.

ובגלל זה היום בוא נדבר חומת אש, אשר הוא חומת אש דינמית הניתנת לניהול, בעצם מאפשר לך לנהל את חומת האש עם תמיכה באזורי רשת כדי להגדיר את רמת הביטחון של הרשתות או הממשקים שבהם אתה משתמש כדי להתחבר. יש לו תמיכה בתצורות גישור IPv4, IPv6 ו-ethernet.

לגבי Firewall

חומת אש היא מיושם כעטיפה על מסנני מנות nftables ו-iptables. Firewalld פועל כתהליך רקע המאפשר לשנות באופן דינמי כללי מסנן מנות דרך D-Bus מבלי לטעון מחדש כללי מסנן מנות וללא ניתוק חיבורים שהוקמו.

לניהול חומת האש, נעשה שימוש בכלי השירות Firewall-cmd, אשר בעת יצירת כללים מבוסס לא על כתובות IP, ממשקי רשת ומספרי יציאות, אלא על שמות שירותים, למשל, לפתיחת גישה ל-SSH, לסגירה SSH, בין היתר.

הממשק הגרפי של חומת האש (GTK) והיישומון של חומת האש (Qt) גם כן ניתן להשתמש כדי לשנות את הגדרות חומת האש. תמיכה בניהול באמצעות חומת האש של D-BUS API זמינה בפרויקטים כגון NetworkManager, libvirt, podman, docker ו-fail2ban.

בנוסף, חומת האש שומרת על תצורה פועלת ותצורה קבועה בנפרד. לפיכך, Firewalld מספקת גם ממשק לאפליקציות להוספת כללים בצורה נוחה.

הדגם הקודם (system-config-firewall/lokkit) היה סטטי וכל שינוי דרש אתחול קשה. פירוש הדבר היה צורך לפרוק את מודולי הליבה (למשל: netfilter) ולטעון אותם מחדש בכל תצורה. בנוסף, פירושה הפעלה מחדש זו אובדן מידע הסטטוס של החיבורים שנוצרו.

לעומת זאת, חומת אש אינה דורשת הפעלה מחדש של השירות כדי להחיל תצורה חדשה. לכן, אין צורך לטעון מחדש את מודולי הקרנל. החיסרון היחיד הוא שכדי שכל זה יעבוד כמו שצריך, התצורה חייבת להיעשות דרך חומת האש וכלי התצורה שלה (חומת אש-cmd או חומת-תצורת אש). Firewalld מסוגל להוסיף כללים באמצעות אותו תחביר כמו פקודות הטבלאות {ip,ip6,eb} (כללים ישירים).

חומת אש 1.3

נכון לעכשיו, Firewalld נמצא בגרסה 1.3 שלה, אשר שוחררה לאחרונה והיא מדגישה את השינויים הבאים:

• יושם שירות התואם לאפליקציית שיתוף הקבצים Warpinator שפותחה על ידי הפצת Linux Mint.
• הוסיפו את שירותי bareos-director, bareos-filedaemon ו-bareos-אחסון כדי לתמוך במערכת הגיבוי של Bareos.
• כלל מיסוך יושם עבור ה-nftables backend, המאפשר לך לאגד את ממשקי הרשת לאזור שמעבד תעבורה נכנסת. עבור iptables backend, תכונה זו אינה נתמכת.
• שירות נוסף עבור רשתות P2P שכבת-על של ערפילית.
• נוסף שירות עבור מערכת הייצוא של מדדי Ceph למסד הנתונים של פרומתאוס.
• נוסף שירות התומך בפרוטוקול OMG DDS (Object Management Group Data Distribution Service).
• שירות נוסף לעיבוד בקשות לקוח לקביעת שמות מארחים באמצעות פרוטוקול LLMNR (Link-Local Multicast Name Resolution).
• נוסף שירות עבור פרוטוקול ps2link המשמש לתקשורת עם קונסולות המשחקים של PlayStation 2.
• נוסף שירות לתמיכה בהפעלת שרת עבור מערכת סינכרון קבצי Syncthing.

אם אתה מעוניין לדעת יותר על גרסה חדשה זו, תוכל לעיין בפרטים ב- הקישור הבא.

קבל Firewalld

סוף סוף למי שכן מעוניין להיות מסוגל להתקין חומת אש זו, עליך לדעת שהפרויקט כבר נמצא בשימוש בהפצות לינוקס רבות, כולל RHEL 7+, Fedora 18+ ו-SUSE/openSUSE 15+. קוד חומת האש כתוב ב-Python ומשוחרר תחת רישיון GPLv2.

אתה יכול לקבל את קוד המקור עבור המבנה שלך מהקישור למטה.