Najbardziej Dystrybucje Linuksa mają własne usługi zapory ogniowej wstępnie zbudowane, więc użytkownik zwykle nie musi ingerować w tę część. Ale czasami konieczna jest jakaś specjalna konfiguracja lub cokolwiek innego, czego chce użytkownik.
I dlatego dzisiaj porozmawiajmy o zaporze ogniowejktóry to dynamiczna, zarządzalna zapora sieciowa, zasadniczo pozwala zarządzać zaporą ogniową z obsługą stref sieciowych w celu zdefiniowania poziomu zaufania sieci lub interfejsów używanych do łączenia. Obsługuje konfiguracje mostkowania IPv4, IPv6 i Ethernet.
O Firewalldzie
Firewall jest zaimplementowany jako opakowanie na filtry pakietów nftables i iptables. Firewalld działa jako proces w tle, który umożliwia dynamiczną zmianę reguł filtrowania pakietów przez D-Bus bez przeładowywania reguł filtrowania pakietów i bez rozłączania ustanowionych połączeń.
Do zarządzania zaporą ogniową używane jest narzędzie firewall-cmd, które podczas tworzenia reguł opiera się nie na adresach IP, interfejsach sieciowych i numerach portów, ale na nazwach usług, na przykład w celu otwarcia dostępu do SSH, zamknięcia SSH m.in.
Graficzny interfejs firewall-config (GTK) oraz aplet firewall-applet (Qt). może być używany do zmiany ustawień zapory. Wsparcie dla zarządzania przez D-BUS API firewalld jest dostępne w projektach takich jak NetworkManager, libvirt, podman, docker i fail2ban.
Ponadto, firewalld oddzielnie utrzymuje bieżącą i stałą konfigurację. W ten sposób firewalld zapewnia również interfejs dla aplikacji do dodawania reguł w wygodny sposób.
Poprzedni model (system-config-firewall/lokkit) był statyczny i każda zmiana wymagała twardego restartu. Oznaczało to konieczność rozładowywania modułów jądra (np. netfilter) i ponownego ładowania ich przy każdej konfiguracji. Ponadto ten restart oznaczał utratę informacji o stanie nawiązanych połączeń.
Natomiast firewalld nie wymaga ponownego uruchomienia usługi w celu zastosowania nowej konfiguracji. Dlatego nie jest konieczne ponowne ładowanie modułów jądra. Jedyną wadą jest to, że aby wszystko to działało poprawnie, konfiguracja musi być przeprowadzona przez firewalld i jego narzędzia konfiguracyjne (firewall-cmd lub firewall-config). Firewalld może dodawać reguły przy użyciu tej samej składni, co polecenia {ip,ip6,eb}tables (reguły bezpośrednie).
Zapora sieciowa 1.3
Obecnie Firewalld jest w wersji 1.3, która została niedawno wydana i zawiera następujące zmiany:
- Wdrożono usługę kompatybilną z aplikacją do udostępniania plików Warpinator, opracowaną przez dystrybucję Linux Mint.
- Dodano usługi bareos-director, bareos-filedaemon i bareos-storage do obsługi systemu tworzenia kopii zapasowych Bareos.
- Zaimplementowano regułę maskowania dla backendu nftables, która pozwala powiązać interfejsy sieciowe ze strefą przetwarzającą ruch przychodzący. W przypadku backendu iptables ta funkcja nie jest obsługiwana.
- Dodano usługę dla nakładkowych sieci P2P Nebuli.
- Dodano usługę dla systemu eksportu metryk Ceph do bazy danych Prometheus.
- Dodano usługę obsługującą protokół OMG DDS (Object Management Group Data Distribution Service).
- Dodano usługę przetwarzania żądań klientów w celu ustalenia nazw hostów przy użyciu protokołu LLMNR (Link-Local Multicast Name Resolution).
- Dodano usługę dla protokołu ps2link używanego do komunikacji z konsolami do gier PlayStation 2.
- Dodano usługę wspierającą działanie serwera dla systemu synchronizacji plików Syncthing.
Jeśli chcesz dowiedzieć się więcej o tej nowej wersji, możesz zapoznać się ze szczegółami w następujący link.
Pobierz zaporę ogniową
Wreszcie dla tych, którzy są zainteresowany możliwością zainstalowania tej zapory, powinieneś wiedzieć, że projekt jest już używany w wielu dystrybucjach Linuksa, w tym RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. Kod firewalld jest napisany w Pythonie i jest udostępniany na licencji GPLv2.
Możesz pobrać kod źródłowy swojej kompilacji z linku poniżej.
Czy ma wsparcie dla Waylanda?
To ma sens, że jedziesz na wyspę lisów w Japonii i zabierasz wszystkie lisy i umieszczasz je, aby zaopiekowały się twoim kurnikiem… tak, panowie, to jest dbus do zarządzania regułami filtrowania.