Firewall, puikus ugniasienės valdymo įrankis

Labiausiai Linux distribucijos turi savo ugniasienės paslaugas iš anksto pastatytas, todėl vartotojui paprastai nereikia kištis į šią dalį. Tačiau kartais reikia kažkokios specialios konfigūracijos arba bet kam kitam, ko vartotojas nori.

Ir todėl šiandien pakalbėkime apie ugniasienę, kuris yra dinamiškai valdoma ugniasienė, iš esmės leidžia valdyti užkardą su tinklo zonų palaikymu, kad būtų galima nustatyti tinklų arba sąsajų, naudojamų prisijungimui, patikimumo lygį. Jis palaiko IPv4, IPv6 ir eterneto tilto konfigūracijas.

Apie ugniasienę

Ugniasienė yra įdiegtas kaip nftables ir iptables paketų filtrų įvyniotuvas. Ugniasienė veikia kaip foninis procesas, leidžiantis dinamiškai keisti paketų filtrų taisykles per D-Bus, neperkraunant paketų filtro taisyklių ir neatjungiant užmegztų ryšių.

Užkardai valdyti naudojama ugniasienės-cmd programa, kuri kuriant taisykles remiasi ne IP adresais, tinklo sąsajomis ir prievadų numeriais, o paslaugų pavadinimais, pavyzdžiui, norint atidaryti prieigą prie SSH, uždaryti SSH, be kita ko.

Firewall-config (GTK) grafinė sąsaja ir ugniasienės programėlė (Qt) programėlė galima naudoti ugniasienės nustatymams keisti. Valdymo per D-BUS API užkardą palaikymas galimas tokiuose projektuose kaip NetworkManager, libvirt, podman, docker ir fail2ban.

Be to, ugniasienė atskirai palaiko veikiančią ir nuolatinę konfigūraciją. Taigi, ugniasienė taip pat suteikia programoms sąsają, leidžiančią patogiai pridėti taisykles.

Ankstesnis modelis (sistemos konfigūracijos-firewall/lokkit) buvo statinis ir kiekvienam pakeitimui reikėjo sunkaus paleidimo iš naujo. Tai reiškė, kad reikėjo iškrauti branduolio modulius (pvz.: netfilter) ir iš naujo juos įkelti kiekvienoje konfigūracijoje. Be to, šis paleidimas iš naujo reiškė užmegztų ryšių būsenos informacijos praradimą.

Priešingai, ugniasienė nereikalauja paslaugos iš naujo paleisti, kad būtų pritaikyta nauja konfigūracija. Todėl branduolio modulių perkrauti nebūtina. Vienintelis trūkumas yra tas, kad norint, kad visa tai veiktų tinkamai, konfigūracija turi būti atliekama naudojant ugniasienę ir jos konfigūravimo įrankius (firewall-cmd arba firewall-config). Ugniasienė gali pridėti taisykles naudodama tą pačią sintaksę kaip ir {ip,ip6,eb} tables komandos (tiesioginės taisyklės).

Ugniasienė 1.3

Šiuo metu Firewalld yra 1.3 versijos, kuri neseniai buvo išleista ir joje pabrėžiami šie pakeitimai:

• Įdiegta paslauga, suderinama su „Warpinator“ failų dalijimosi programa, sukurta Linux Mint platinimo.
• Pridėtos „Bareos-director“, „Bareos-filedaemon“ ir „Bareos-saugyklos“ paslaugos, kad būtų palaikoma „Bareos“ atsarginė sistema.
• Įdiegta maskavimo taisyklė nftables backend, kuri leidžia susieti tinklo sąsajas su zona, kuri apdoroja gaunamą srautą. iptables backend ši funkcija nepalaikoma.
• Pridėta „Nebula“ perdangos P2P tinklų paslauga.
• Į Prometheus duomenų bazę įtraukta Ceph metrikų eksporto sistemos paslauga.
• Pridėta paslauga, kuri palaiko OMG DDS (Object Management Group Data Distribution Service) protokolą.
• Pridėta paslauga, skirta apdoroti klientų užklausas ir nustatyti pagrindinio kompiuterio pavadinimus naudojant LLMNR (Link-Local Multicast Name Resolution) protokolą.
• Pridėta ps2link protokolo paslauga, naudojama bendrauti su PlayStation 2 žaidimų konsolėmis.
• Pridėta paslauga, skirta palaikyti sinchronizavimo failų sinchronizavimo sistemos serverio veikimą.

Jei norite sužinoti daugiau apie šią naują versiją, galite peržiūrėti išsamią informaciją sekanti nuoroda.

Gaukite ugniasienę

Pagaliau tiems, kurie yra domina galimybė įdiegti šią ugniasienę, turėtumėte žinoti, kad projektas jau naudojamas daugelyje Linux platinimų, įskaitant RHEL 7+, Fedora 18+ ir SUSE/openSUSE 15+. Ugniasienės kodas parašytas Python ir išleistas pagal GPLv2 licenciją.

Galite gauti savo versijos šaltinio kodą iš žemiau pateiktos nuorodos.