firewalld, doskonałe narzędzie, które chroni i blokuje ruch sieciowy
Kilka dni temu ogłoszono wydanie nowej wersji firewalld 2.0, która jest główną wersją, która oprócz zaznaczenia zmiany gałęzi, wydanie jest spowodowane poprawieniem problemów z polityką, a także ulepszeniami wsparcia i nie tylko.
Ci, którzy nie znają Firewallda, powinni wiedzieć, że tak jest zaimplementowany jako opakowanie na filtry pakietów nftables i iptables. Firewalld działa jako proces w tle, który umożliwia dynamiczną zmianę reguł filtrowania pakietów przez D-Bus bez przeładowywania reguł filtrowania pakietów i bez rozłączania ustanowionych połączeń.
Do zarządzania zaporą ogniową używane jest narzędzie firewall-cmd, które podczas tworzenia reguł opiera się nie na adresach IP, interfejsach sieciowych i numerach portów, ale na nazwach usług, na przykład w celu otwarcia dostępu do SSH, zamknięcia SSH m.in.
Graficzny interfejs firewall-config (GTK) oraz aplet firewall-applet (Qt). może być używany do zmiany ustawień zapory. Wsparcie dla zarządzania przez D-BUS API firewalld jest dostępne w projektach takich jak NetworkManager, libvirt, podman, docker i fail2ban.
Ponadto, firewalld oddzielnie utrzymuje bieżącą i stałą konfigurację. W ten sposób firewalld zapewnia również interfejs dla aplikacji do dodawania reguł w wygodny sposób.
Główne nowe funkcje firewalld 2.0
Jak wspomniano na początku, to wydawnictwo wyróżnia się wprowadzanie zmian polityki, które naruszają kompatybilność wsteczną oraz eliminują problem z regułami przetwarzania, które nakazują przetwarzanie pakietów przychodzących tylko w odniesieniu do strefy w sytuacji, gdy zakresy adresów pokrywają się z innymi strefami (jeśli zakresy adresów w strefach nakładają się, to pakiet może przypadać na kilka stref , ignorując określone zasady).
Inne zmiany, które wyróżniają się w tej nowej wersji firewalld 2.0 to dodano obsługę nftables, co pozwala na wykorzystanie mechanizmu wyboru ścieżki przekazywania pakietów w tabeli przepływu, co może znacznie poprawić wydajność przekazywania ruchu.
Możemy to również znaleźć dodano konfigurację NftablesCounters do używania liczników pakietów nftables. Firewalld z włączonym NftablesFlowtable zwiększył wydajność iperf z przekierowaniem sieci o około 59%.
Oprócz tego możemy również znaleźć, że dodano obsługę ustawiania różnych priorytetów dla stref, co pozwala użytkownikowi kontrolować kolejność, w jakiej pakiety wchodzą do stref.
Z drugiej strony warto o tym wspomnieć w Firewalld 2.0 usunięto obsługę klienta TFTP, który w zasadzie nie działał zgodnie z oczekiwaniami, ponieważ został włączony w celu umożliwienia zasilania uzyskać dostęp do serwerów. Które „nigdy tak naprawdę nie działało” po dodaniu do strefy.
Z innych zmian które wyróżniają się na tle nowej wersji:
- Dodano usługi wspierające Zabbix Java Gateway i Zabbix Web Service.
- Dodano usługi obsługujące Minecraft, 0AD, anno 1602, anno 1800, Civilization IV, Civilization V, factorio, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, Super Tux kart, Terraria, Zero K i Settlers.
- Zbiorcza usługa dla OpenTelemetry (OTLP).
- Ponadto zasady ignorowały niektóre od dawna obowiązujące zasady dotyczące tego obszaru.
– Źródła są zawsze wysyłane przed interfejsami
– Źródła są sortowane według nazwy strefy
Jeśli chcesz dowiedzieć się więcej o tej nowej wersji, możesz zapoznać się ze szczegółami w następujący link.
Pobierz zaporę ogniową
Wreszcie dla tych, którzy są zainteresowany możliwością zainstalowania tej zapory, powinieneś wiedzieć, że projekt jest już używany w wielu dystrybucjach Linuksa, w tym RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. Kod firewalld jest napisany w Pythonie i jest udostępniany na licencji GPLv2.
Możesz pobrać kod źródłowy swojej kompilacji z linku poniżej.