Firewalld, отличный инструмент управления брандмауэром

firewalld

firewalld, отличная утилита для защиты и блокировки сетевого трафика

Большинство Дистрибутивы Linux имеют свои собственные службы брандмауэра. предварительно построен, поэтому пользователю обычно не нужно вмешиваться в эту часть. Но иногда необходима какая-то специальная конфигурация или что-то еще, что хочет пользователь.

И поэтому сегодня давайте поговорим о брандмауэре, Который это динамический управляемый брандмауэр, в основном позволяет вам управлять брандмауэром с поддержкой сетевых зон, чтобы определить уровень доверия к сетям или интерфейсам, которые вы используете для подключения. Он поддерживает конфигурации моста IPv4, IPv6 и Ethernet.

О брандмауэре

Брандмауэр это реализован как оболочка для фильтров пакетов nftables и iptables. Firewalld работает как фоновый процесс, который позволяет динамически изменять правила фильтрации пакетов через D-Bus без перезагрузки правил фильтрации пакетов и без разрыва установленных соединений.

Для управления брандмауэром используется утилита firewall-cmd, которая при создании правил опирается не на IP-адреса, сетевые интерфейсы и номера портов, а на имена сервисов, например, открыть доступ по SSH, закрыть SSH, в том числе.

Графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt) также можно использовать для изменения настроек брандмауэра. Поддержка управления через D-BUS API firewalld доступна в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Кроме того, firewalld поддерживает текущую и постоянную конфигурацию отдельно. Таким образом, firewalld также предоставляет приложениям удобный интерфейс для добавления правил.

Предыдущая модель (system-config-firewall/lokkit) была статической, и каждое изменение требовало жесткой перезагрузки. Это означало необходимость выгружать модули ядра (например, netfilter) и перезагружать их при каждой конфигурации. Кроме того, этот перезапуск означал потерю информации о состоянии установленных соединений.

Напротив, firewalld не требует перезапуска службы для применения новой конфигурации. Поэтому нет необходимости перезагружать модули ядра. Единственным недостатком является то, что для корректной работы всего этого настройка должна выполняться через firewalld и его инструменты настройки (firewall-cmd или firewall-config). Firewalld может добавлять правила, используя тот же синтаксис, что и команды {ip,ip6,eb}tables (прямые правила).

Брандмауэр 1.3

В настоящее время Firewalld находится в версии 1.3, которая была недавно выпущена и содержит следующие изменения:

  • Реализован сервис, совместимый с приложением для обмена файлами Warpinator, разработанным дистрибутивом Linux Mint.
  • Добавлены сервисы bareos-director, bareos-filedaemon и bareos-storage для поддержки системы резервного копирования Bareos.
  • Для бэкенда nftables реализовано правило маскирования, позволяющее привязывать сетевые интерфейсы к зоне, обрабатывающей входящий трафик. Для серверной части iptables эта функция не поддерживается.
  • Добавлен сервис оверлея P2P сетей Nebula.
  • Добавлен сервис для системы экспорта метрик Ceph в базу данных Prometheus.
  • Добавлена ​​служба, поддерживающая протокол OMG DDS (служба распределения данных группы управления объектами).
  • Добавлен сервис для обработки клиентских запросов на определение имен хостов по протоколу LLMNR (Link-Local Multicast Name Resolution).
  • Добавлена ​​служба для протокола ps2link, используемого для связи с игровыми консолями PlayStation 2.
  • Добавлен сервис для поддержки работы сервера для системы синхронизации файлов Syncthing.

Если вам интересно узнать больше об этой новой версии, вы можете ознакомиться с подробностями в по следующей ссылке.

Получить брандмауэр

Наконец, для тех, кто заинтересован в возможности установить этот брандмауэр, вы должны знать, что проект уже используется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на Python и выпущен под лицензией GPLv2.

Вы можете получить исходный код для вашей сборки по ссылке ниже.


2 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Seba сказал

    Есть ли поддержка Wayland?

  2.   Луисито сказал

    Имеет смысл отправиться на лисий остров в Японии, привести всех лисиц и поставить их заботиться о вашем курятнике... да, господа, это dbus для управления правилами фильтрации.