Firewalld, odlično orodje za upravljanje požarnega zidu

Večina Distribucije Linuxa imajo lastne storitve požarnega zidu vnaprej vgrajen, tako da uporabniku običajno ni treba posegati v ta del. Toda včasih je potrebna kakšna posebna konfiguracija ali za kar koli drugega, kar uporabnik želi.

In zato danes pogovorimo se o požarnem zidu, ki je dinamično obvladljiv požarni zid, v bistvu vam omogoča upravljanje požarnega zidu s podporo za omrežna območja, da določite stopnjo zaupanja omrežij ali vmesnikov, ki jih uporabljate za povezovanje. Ima podporo za konfiguracije IPv4, IPv6 in ethernet premostitev.

O požarnem zidu

Požarni zid je implementiran kot ovoj nad filtri paketov nftables in iptables. Firewalld deluje kot proces v ozadju, ki omogoča dinamično spreminjanje pravil paketnega filtra prek D-Bus brez ponovnega nalaganja pravil paketnega filtra in brez prekinitve vzpostavljenih povezav.

Za upravljanje požarnega zidu se uporablja pripomoček firewall-cmd, ki pri ustvarjanju pravil ne temelji na naslovih IP, omrežnih vmesnikih in številkah vrat, temveč na imenih storitev, na primer za odpiranje dostopa do SSH, zapiranje SSH med drugim.

Tudi grafični vmesnik požarnega zidu (GTK) in programček požarnega zidu (Qt) lahko uporabite za spreminjanje nastavitev požarnega zidu. Podpora za upravljanje prek požarnega zidu D-BUS API je na voljo v projektih, kot so NetworkManager, libvirt, podman, docker in fail2ban.

Poleg tega, požarni zid ločeno vzdržuje delujočo in stalno konfiguracijo. Tako požarni zid ponuja tudi vmesnik za aplikacije za dodajanje pravil na priročen način.

Prejšnji model (system-config-firewall/lokkit) je bil statičen in vsaka sprememba je zahtevala trdi ponovni zagon. To je pomenilo, da je bilo treba razložiti module jedra (npr.: netfilter) in jih znova naložiti ob vsaki konfiguraciji. Poleg tega je ta ponovni zagon pomenil izgubo informacij o statusu vzpostavljenih povezav.

Nasprotno pa firewalld ne zahteva ponovnega zagona storitve za uporabo nove konfiguracije. Zato ni potrebno ponovno naložiti modulov jedra. Edina pomanjkljivost je, da je za pravilno delovanje vsega tega treba konfiguracijo izvesti prek požarnega zidu in njegovih konfiguracijskih orodij (firewall-cmd ali firewall-config). Firewalld lahko dodaja pravila z isto sintakso kot ukazi {ip,ip6,eb}tabel (neposredna pravila).

Požarni zid 1.3

Trenutno je Firewalld v svoji različici 1.3, ki je bila nedavno izdana in poudarja naslednje spremembe:

• Izvedena je bila storitev, združljiva z aplikacijo za deljenje datotek Warpinator, ki jo je razvila distribucija Linux Mint.
• Dodane storitve bareos-director, bareos-filedaemon in bareos-storage za podporo sistemu za varnostno kopiranje Bareos.
• Za zaledje nftables je bilo implementirano pravilo maskiranja, ki vam omogoča, da omrežne vmesnike povežete z območjem, ki obdeluje dohodni promet. Za zaledje iptables ta funkcija ni podprta.
• Dodana storitev za prekrivna omrežja P2P za Nebula.
• Dodana storitev za sistem za izvoz metrik Ceph v bazo podatkov Prometheus.
• Dodana storitev, ki podpira protokol OMG DDS (Object Management Group Data Distribution Service).
• Dodana je bila storitev za obdelavo zahtev odjemalcev za določanje imen gostiteljev z uporabo protokola LLMNR (Link-Local Multicast Name Resolution).
• Dodana storitev za protokol ps2link, ki se uporablja za komunikacijo z igralnimi konzolami PlayStation 2.
• Dodana je bila storitev za podporo delovanja strežnika za sistem za sinhronizacijo datotek Syncthing.

Če vas zanima več o tej novi različici, si oglejte podrobnosti v naslednja povezava.

Pridobite Firewalld

Končno za tiste, ki so zanima namestitev tega požarnega zidu, morate vedeti, da je projekt že v uporabi v številnih distribucijah Linuxa, vključno z RHEL 7+, Fedora 18+ in SUSE/openSUSE 15+. Koda požarnega zidu je napisana v Pythonu in je izdana pod licenco GPLv2.

Lahko dobite izvorno kodo za svojo zgradbo s spodnje povezave.