Firewalld, ett utmärkt brandväggshanteringsverktyg

De flesta Linux-distributioner har sina egna brandväggstjänster förbyggd, så användaren behöver vanligtvis inte ingripa i denna del. Men ibland behövs någon form av speciell konfiguration eller för vad användaren vill ha.

Och det är därför idag låt oss prata brandväggvilken är en dynamisk hanterbar brandvägg, låter dig i princip hantera brandväggen med stöd för nätverkszoner för att definiera konfidensnivån för de nätverk eller gränssnitt du använder för att ansluta. Den har stöd för IPv4, IPv6 och Ethernet-bryggningskonfigurationer.

Om Firewalld

Brandvägg är implementerat som ett omslag över paketfiltren nftables och iptables. Firewalld körs som en bakgrundsprocess som tillåter paketfilterregler att ändras dynamiskt över D-Bus utan att ladda om paketfilterregler och utan att koppla bort etablerade anslutningar.

För att hantera brandväggen används brandväggen-cmd-verktyget, som vid skapande av regler inte baseras på IP-adresser, nätverksgränssnitt och portnummer, utan på namnen på tjänster, till exempel för att öppna åtkomst till SSH, för att stänga SSH, bland annat.

Firewall-config (GTK) grafiska gränssnitt och brandvägg-applet (Qt) applet också kan användas för att ändra brandväggsinställningar. Stöd för hantering via D-BUS API-brandvägg finns tillgängligt i projekt som NetworkManager, libvirt, podman, docker och fail2ban.

Dessutom, firewalld upprätthåller en körande och en permanent konfiguration separat. Firewalld tillhandahåller alltså också ett gränssnitt för applikationer att lägga till regler på ett bekvämt sätt.

Den tidigare modellen (system-config-firewall/lokkit) var statisk och varje ändring krävde en hård omstart. Detta innebar att man måste ladda ur kärnmodulerna (t.ex. netfilter) och ladda om dem vid varje konfiguration. Dessutom innebar denna omstart att man förlorade statusinformationen för de etablerade anslutningarna.

Däremot kräver brandvägg ingen omstart av tjänsten för att tillämpa en ny konfiguration. Därför är det inte nödvändigt att ladda om kärnmodulerna. Den enda nackdelen är att för att allt detta ska fungera korrekt måste konfigurationen göras genom brandvägg och dess konfigurationsverktyg (brandvägg-cmd eller brandvägg-konfiguration). Firewalld kan lägga till regler med samma syntax som {ip,ip6,eb}tables-kommandona (direkta regler).

Brandvägg 1.3

För närvarande finns Firewalld i sin version 1.3, som nyligen släpptes och den belyser följande ändringar:

• En tjänst som är kompatibel med fildelningsapplikationen Warpinator som utvecklats av Linux Mint-distributionen har implementerats.
• Lade til bareos-director, bareos-filedaemon och bareos-lagringstjänster för att stödja Bareos backup-system.
• En maskeringsregel har implementerats för nftables backend, som låter dig binda nätverksgränssnitt till en zon som behandlar inkommande trafik. Den här funktionen stöds inte för iptables-backend.
• Tillagd tjänst för overlay P2P-nätverk av Nebula.
• Lade till en tjänst för exportsystemet Ceph metrics till Prometheus-databasen.
• Lade till en tjänst som stöder protokollet OMG DDS (Object Management Group Data Distribution Service).
• En tjänst har lagts till för att bearbeta klientförfrågningar för att fastställa värdnamn med hjälp av LLMNR-protokollet (Link-Local Multicast Name Resolution).
• Lade till en tjänst för ps2link-protokollet som används för att kommunicera med PlayStation 2-spelkonsoler.
• En tjänst har lagts till för att stödja serverdrift för Syncthing-filsynkroniseringssystemet.

Om du är intresserad av att veta mer om den här nya versionen kan du konsultera detaljerna i följande länk.

Skaffa Firewalld

Äntligen för de som är det intresserad av att kunna installera denna brandvägg, du bör veta att projektet redan används på många Linux-distributioner, inklusive RHEL 7+, Fedora 18+ och SUSE/openSUSE 15+. Brandväggskoden är skriven i Python och släpps under GPLv2-licensen.

Du kan få källkoden för ditt bygge från länken nedan.