Firewalld เครื่องมือจัดการไฟร์วอลล์ที่ยอดเยี่ยม

มากที่สุด ลีนุกซ์ดิสทริบิวชันมีบริการไฟร์วอลล์ของตนเอง สร้างไว้ล่วงหน้า ดังนั้น ผู้ใช้จึงไม่ต้องเข้าไปยุ่งในส่วนนี้ แต่บางครั้งจำเป็นต้องมีการกำหนดค่าพิเศษบางอย่างหรือเพื่อสิ่งอื่นใดที่ผู้ใช้ต้องการ

และนั่นคือเหตุผลที่วันนี้ มาคุยกันไฟร์วอลล์ซึ่ง เป็นไฟร์วอลล์ที่สามารถจัดการได้แบบไดนามิก โดยทั่วไปจะช่วยให้คุณสามารถจัดการไฟร์วอลล์ด้วยการสนับสนุนโซนเครือข่ายเพื่อกำหนดระดับความเชื่อมั่นของเครือข่ายหรืออินเทอร์เฟซที่คุณใช้เชื่อมต่อ รองรับการกำหนดค่าการเชื่อมต่อ IPv4, IPv6 และอีเธอร์เน็ต

เกี่ยวกับไฟร์วอลล์

ไฟร์วอลล์คือ นำมาใช้เป็น wrapper บนตัวกรองแพ็กเก็ต nftables และ iptables Firewalld ทำงานเป็นกระบวนการพื้นหลังที่อนุญาตให้เปลี่ยนกฎการกรองแพ็กเก็ตแบบไดนามิกบน D-Bus โดยไม่ต้องโหลดกฎตัวกรองแพ็กเก็ตซ้ำ และไม่ตัดการเชื่อมต่อการเชื่อมต่อที่สร้างไว้

ในการจัดการไฟร์วอลล์จะใช้ยูทิลิตี firewall-cmd ซึ่งเมื่อสร้างกฎไม่ได้ขึ้นอยู่กับที่อยู่ IP อินเทอร์เฟซเครือข่ายและหมายเลขพอร์ต แต่ใช้ชื่อบริการต่างๆ เช่น เปิดการเข้าถึง SSH เพื่อปิด SSH และอื่น ๆ

อินเทอร์เฟซแบบกราฟิก firewall-config (GTK) และแอพเพล็ต firewall-applet (Qt) ด้วย สามารถใช้เพื่อเปลี่ยนการตั้งค่าไฟร์วอลล์. รองรับการจัดการผ่านไฟร์วอลล์ D-BUS API ในโครงการต่างๆ เช่น NetworkManager, libvirt, podman, docker และ fail2ban

นอกจากนี้ firewalld รักษาการทำงานและการกำหนดค่าถาวรแยกจากกัน. ดังนั้น firewalld ยังมีอินเทอร์เฟซสำหรับแอปพลิเคชันเพื่อเพิ่มกฎด้วยวิธีที่สะดวก

รุ่นก่อนหน้า (ระบบกำหนดค่าไฟร์วอลล์/lokkit) เป็นแบบคงที่และการเปลี่ยนแปลงแต่ละครั้งจำเป็นต้องรีบูตเครื่อง ซึ่งหมายความว่าต้องยกเลิกการโหลดโมดูลเคอร์เนล (เช่น: netfilter) และโหลดซ้ำในทุกการกำหนดค่า นอกจากนี้ การรีสตาร์ทนี้หมายถึงการสูญเสียข้อมูลสถานะของการเชื่อมต่อที่สร้างไว้

ในทางตรงกันข้าม firewalld ไม่จำเป็นต้องรีสตาร์ทบริการเพื่อใช้การกำหนดค่าใหม่ ดังนั้นจึงไม่จำเป็นต้องโหลดโมดูลเคอร์เนลซ้ำ ข้อเสียเพียงอย่างเดียวคือเพื่อให้ทั้งหมดนี้ทำงานได้อย่างถูกต้อง การกำหนดค่าต้องทำผ่าน firewalld และเครื่องมือกำหนดค่า (firewall-cmd หรือ firewall-config) Firewalld สามารถเพิ่มกฎโดยใช้ไวยากรณ์เดียวกันกับคำสั่ง {ip,ip6,eb}tables (กฎโดยตรง)

ไฟร์วอลล์ 1.3

ปัจจุบัน Firewalld อยู่ในเวอร์ชัน 1.3 ซึ่งเพิ่งเปิดตัวและเน้นการเปลี่ยนแปลงต่อไปนี้:

• บริการที่เข้ากันได้กับแอปพลิเคชันแชร์ไฟล์ Warpinator ที่พัฒนาโดย Linux Mint ได้ถูกนำมาใช้แล้ว
• เพิ่มบริการ Bareos-Director, Bareos-filedaemon และ Bareos-Storage เพื่อรองรับระบบสำรองข้อมูล Bareos
• มีการใช้กฎการกำบังสำหรับแบ็กเอนด์ nftables ซึ่งอนุญาตให้คุณผูกอินเทอร์เฟซเครือข่ายกับโซนที่ประมวลผลทราฟฟิกขาเข้า สำหรับแบ็กเอนด์ iptables ไม่รองรับฟีเจอร์นี้
• เพิ่มบริการสำหรับเครือข่าย P2P แบบโอเวอร์เลย์ของ Nebula
• เพิ่มบริการสำหรับระบบส่งออกตัวชี้วัด Ceph ไปยังฐานข้อมูล Prometheus
• เพิ่มบริการที่สนับสนุนโปรโตคอล OMG DDS (Object Management Group Data Distribution Service)
• มีการเพิ่มบริการเพื่อดำเนินการตามคำขอของลูกค้าเพื่อกำหนดชื่อโฮสต์โดยใช้โปรโตคอล LLMNR (Link-Local Multicast Name Resolution)
• เพิ่มบริการสำหรับโปรโตคอล ps2link ที่ใช้ในการสื่อสารกับเครื่องเล่นเกม PlayStation 2
• มีการเพิ่มบริการเพื่อรองรับการทำงานของเซิร์ฟเวอร์สำหรับระบบการซิงโครไนซ์ไฟล์ Syncthing

หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันใหม่นี้ คุณสามารถศึกษารายละเอียดใน ลิงค์ต่อไปนี้

รับ Firewalld

สุดท้ายสำหรับผู้ที่เป็น สนใจที่จะติดตั้งไฟร์วอลล์นี้คุณควรรู้ว่าโปรเจ็กต์นี้มีการใช้งานอยู่แล้วในลีนุกซ์รุ่นต่างๆ รวมถึง RHEL 7+, Fedora 18+ และ SUSE/openSUSE 15+ รหัส firewalld เขียนด้วยภาษา Python และเผยแพร่ภายใต้ลิขสิทธิ์ GPLv2

คุณสามารถรับซอร์สโค้ดสำหรับบิลด์ของคุณ จากลิงค์ด้านล่าง