Firewalld, vynikajúci nástroj na správu brány firewall

Väčšina Linuxové distribúcie majú svoje vlastné firewallové služby predvyrobené, takže používateľ väčšinou nemusí do tejto časti zasahovať. Niekedy je však potrebná špeciálna konfigurácia alebo čokoľvek iné, čo používateľ chce.

A práve preto dnes povedzme firewalld, ktoré je dynamicky spravovateľný firewall, v podstate vám umožňuje spravovať bránu firewall s podporou sieťových zón na definovanie úrovne spoľahlivosti sietí alebo rozhraní, ktoré používate na pripojenie. Má podporu pre konfigurácie IPv4, IPv6 a ethernetového premostenia.

O Firewallde

Firewall je implementovaný ako obal cez paketové filtre nftables a iptables. Firewalld beží ako proces na pozadí, ktorý umožňuje dynamickú zmenu pravidiel paketového filtra cez D-Bus bez opätovného načítania pravidiel paketového filtra a bez odpojenia vytvorených spojení.

Na správu brány firewall sa používa nástroj firewall-cmd, ktorý pri vytváraní pravidiel nie je založený na IP adresách, sieťových rozhraniach a číslach portov, ale na názvoch služieb, napríklad na otvorenie prístupu k SSH, zatvorenie SSH, okrem iného.

Grafické rozhranie firewall-config (GTK) a aplet firewall-applet (Qt). možno použiť na zmenu nastavení brány firewall. Podpora pre správu cez D-BUS API firewalld je dostupná v projektoch ako NetworkManager, libvirt, podman, docker a fail2ban.

Okrem toho, firewalld udržiava spustenú a trvalú konfiguráciu oddelene. Firewalld teda poskytuje aj rozhranie pre aplikácie na pridávanie pravidiel pohodlným spôsobom.

Predchádzajúci model (system-config-firewall/lokkit) bol statický a každá zmena si vyžadovala tvrdý reštart. To znamenalo potrebu uvoľniť moduly jadra (napr.: netfilter) a znova ich načítať pri každej konfigurácii. Tento reštart navyše znamenal stratu informácií o stave nadviazaných spojení.

Na rozdiel od toho firewalld nevyžaduje reštart služby na použitie novej konfigurácie. Preto nie je potrebné znovu načítať moduly jadra. Jedinou nevýhodou je, že aby toto všetko fungovalo správne, konfigurácia musí byť vykonaná cez firewalld a jeho konfiguračné nástroje (firewall-cmd alebo firewall-config). Firewalld je schopný pridávať pravidlá pomocou rovnakej syntaxe ako príkazy {ip,ip6,eb}tables (priame pravidlá).

Firewall 1.3

V súčasnosti je Firewalld vo verzii 1.3, ktorá bola nedávno vydaná a zdôrazňuje nasledujúce zmeny:

• Bola implementovaná služba kompatibilná s aplikáciou na zdieľanie súborov Warpinator vyvinutou distribúciou Linux Mint.
• Pridané služby bareos-director, bareos-filedaemon a bareos-storage na podporu systému zálohovania Bareos.
• Pre backend nftables bolo implementované maskovacie pravidlo, ktoré vám umožňuje viazať sieťové rozhrania na zónu, ktorá spracováva prichádzajúcu prevádzku. Pre backend iptables táto funkcia nie je podporovaná.
• Pridaná služba pre prekryvné P2P siete Nebula.
• Do databázy Prometheus bola pridaná služba pre systém exportu metrík Ceph.
• Pridaná služba, ktorá podporuje protokol OMG DDS (Object Management Group Data Distribution Service).
• Bola pridaná služba na spracovanie požiadaviek klientov na určenie názvov hostiteľov pomocou protokolu LLMNR (Link-Local Multicast Name Resolution).
• Pridaná služba pre protokol ps2link používaný na komunikáciu s hernými konzolami PlayStation 2.
• Bola pridaná služba na podporu prevádzky servera pre systém synchronizácie súborov Syncthing.

Ak máte záujem dozvedieť sa viac o tejto novej verzii, podrobnosti si môžete prečítať v nasledujúci odkaz.

Získajte Firewalld

Nakoniec pre tých, ktorí sú záujem o inštaláciu tejto brány firewall, mali by ste vedieť, že projekt sa už používa na mnohých distribúciách Linuxu, vrátane RHEL 7+, Fedora 18+ a SUSE/openSUSE 15+. Kód brány firewall je napísaný v jazyku Python a je vydaný pod licenciou GPLv2.

Môžete získať zdrojový kód pre vašu zostavu z odkazu nižšie.