Firewalld, doskonałe narzędzie do zarządzania zaporą sieciową

Najbardziej Dystrybucje Linuksa mają własne usługi zapory ogniowej wstępnie zbudowane, więc użytkownik zwykle nie musi ingerować w tę część. Ale czasami konieczna jest jakaś specjalna konfiguracja lub cokolwiek innego, czego chce użytkownik.

I dlatego dzisiaj porozmawiajmy o zaporze ogniowejktóry to dynamiczna, zarządzalna zapora sieciowa, zasadniczo pozwala zarządzać zaporą ogniową z obsługą stref sieciowych w celu zdefiniowania poziomu zaufania sieci lub interfejsów używanych do łączenia. Obsługuje konfiguracje mostkowania IPv4, IPv6 i Ethernet.

O Firewalldzie

Firewall jest zaimplementowany jako opakowanie na filtry pakietów nftables i iptables. Firewalld działa jako proces w tle, który umożliwia dynamiczną zmianę reguł filtrowania pakietów przez D-Bus bez przeładowywania reguł filtrowania pakietów i bez rozłączania ustanowionych połączeń.

Do zarządzania zaporą ogniową używane jest narzędzie firewall-cmd, które podczas tworzenia reguł opiera się nie na adresach IP, interfejsach sieciowych i numerach portów, ale na nazwach usług, na przykład w celu otwarcia dostępu do SSH, zamknięcia SSH m.in.

Graficzny interfejs firewall-config (GTK) oraz aplet firewall-applet (Qt). może być używany do zmiany ustawień zapory. Wsparcie dla zarządzania przez D-BUS API firewalld jest dostępne w projektach takich jak NetworkManager, libvirt, podman, docker i fail2ban.

Ponadto, firewalld oddzielnie utrzymuje bieżącą i stałą konfigurację. W ten sposób firewalld zapewnia również interfejs dla aplikacji do dodawania reguł w wygodny sposób.

Poprzedni model (system-config-firewall/lokkit) był statyczny i każda zmiana wymagała twardego restartu. Oznaczało to konieczność rozładowywania modułów jądra (np. netfilter) i ponownego ładowania ich przy każdej konfiguracji. Ponadto ten restart oznaczał utratę informacji o stanie nawiązanych połączeń.

Natomiast firewalld nie wymaga ponownego uruchomienia usługi w celu zastosowania nowej konfiguracji. Dlatego nie jest konieczne ponowne ładowanie modułów jądra. Jedyną wadą jest to, że aby wszystko to działało poprawnie, konfiguracja musi być przeprowadzona przez firewalld i jego narzędzia konfiguracyjne (firewall-cmd lub firewall-config). Firewalld może dodawać reguły przy użyciu tej samej składni, co polecenia {ip,ip6,eb}tables (reguły bezpośrednie).

Zapora sieciowa 1.3

Obecnie Firewalld jest w wersji 1.3, która została niedawno wydana i zawiera następujące zmiany:

• Wdrożono usługę kompatybilną z aplikacją do udostępniania plików Warpinator, opracowaną przez dystrybucję Linux Mint.
• Dodano usługi bareos-director, bareos-filedaemon i bareos-storage do obsługi systemu tworzenia kopii zapasowych Bareos.
• Zaimplementowano regułę maskowania dla backendu nftables, która pozwala powiązać interfejsy sieciowe ze strefą przetwarzającą ruch przychodzący. W przypadku backendu iptables ta funkcja nie jest obsługiwana.
• Dodano usługę dla nakładkowych sieci P2P Nebuli.
• Dodano usługę dla systemu eksportu metryk Ceph do bazy danych Prometheus.
• Dodano usługę obsługującą protokół OMG DDS (Object Management Group Data Distribution Service).
• Dodano usługę przetwarzania żądań klientów w celu ustalenia nazw hostów przy użyciu protokołu LLMNR (Link-Local Multicast Name Resolution).
• Dodano usługę dla protokołu ps2link używanego do komunikacji z konsolami do gier PlayStation 2.
• Dodano usługę wspierającą działanie serwera dla systemu synchronizacji plików Syncthing.

Jeśli chcesz dowiedzieć się więcej o tej nowej wersji, możesz zapoznać się ze szczegółami w następujący link.

Pobierz zaporę ogniową

Wreszcie dla tych, którzy są zainteresowany możliwością zainstalowania tej zapory, powinieneś wiedzieć, że projekt jest już używany w wielu dystrybucjach Linuksa, w tym RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. Kod firewalld jest napisany w Pythonie i jest udostępniany na licencji GPLv2.

Możesz pobrać kod źródłowy swojej kompilacji z linku poniżej.