มากที่สุด ลีนุกซ์ดิสทริบิวชันมีบริการไฟร์วอลล์ของตนเอง สร้างไว้ล่วงหน้า ดังนั้น ผู้ใช้จึงไม่ต้องเข้าไปยุ่งในส่วนนี้ แต่บางครั้งจำเป็นต้องมีการกำหนดค่าพิเศษบางอย่างหรือเพื่อสิ่งอื่นใดที่ผู้ใช้ต้องการ
และนั่นคือเหตุผลที่วันนี้ มาคุยกันไฟร์วอลล์ซึ่ง เป็นไฟร์วอลล์ที่สามารถจัดการได้แบบไดนามิก โดยทั่วไปจะช่วยให้คุณสามารถจัดการไฟร์วอลล์ด้วยการสนับสนุนโซนเครือข่ายเพื่อกำหนดระดับความเชื่อมั่นของเครือข่ายหรืออินเทอร์เฟซที่คุณใช้เชื่อมต่อ รองรับการกำหนดค่าการเชื่อมต่อ IPv4, IPv6 และอีเธอร์เน็ต
เกี่ยวกับไฟร์วอลล์
ไฟร์วอลล์คือ นำมาใช้เป็น wrapper บนตัวกรองแพ็กเก็ต nftables และ iptables Firewalld ทำงานเป็นกระบวนการพื้นหลังที่อนุญาตให้เปลี่ยนกฎการกรองแพ็กเก็ตแบบไดนามิกบน D-Bus โดยไม่ต้องโหลดกฎตัวกรองแพ็กเก็ตซ้ำ และไม่ตัดการเชื่อมต่อการเชื่อมต่อที่สร้างไว้
ในการจัดการไฟร์วอลล์จะใช้ยูทิลิตี firewall-cmd ซึ่งเมื่อสร้างกฎไม่ได้ขึ้นอยู่กับที่อยู่ IP อินเทอร์เฟซเครือข่ายและหมายเลขพอร์ต แต่ใช้ชื่อบริการต่างๆ เช่น เปิดการเข้าถึง SSH เพื่อปิด SSH และอื่น ๆ
อินเทอร์เฟซแบบกราฟิก firewall-config (GTK) และแอพเพล็ต firewall-applet (Qt) ด้วย สามารถใช้เพื่อเปลี่ยนการตั้งค่าไฟร์วอลล์. รองรับการจัดการผ่านไฟร์วอลล์ D-BUS API ในโครงการต่างๆ เช่น NetworkManager, libvirt, podman, docker และ fail2ban
นอกจากนี้ firewalld รักษาการทำงานและการกำหนดค่าถาวรแยกจากกัน. ดังนั้น firewalld ยังมีอินเทอร์เฟซสำหรับแอปพลิเคชันเพื่อเพิ่มกฎด้วยวิธีที่สะดวก
รุ่นก่อนหน้า (ระบบกำหนดค่าไฟร์วอลล์/lokkit) เป็นแบบคงที่และการเปลี่ยนแปลงแต่ละครั้งจำเป็นต้องรีบูตเครื่อง ซึ่งหมายความว่าต้องยกเลิกการโหลดโมดูลเคอร์เนล (เช่น: netfilter) และโหลดซ้ำในทุกการกำหนดค่า นอกจากนี้ การรีสตาร์ทนี้หมายถึงการสูญเสียข้อมูลสถานะของการเชื่อมต่อที่สร้างไว้
ในทางตรงกันข้าม firewalld ไม่จำเป็นต้องรีสตาร์ทบริการเพื่อใช้การกำหนดค่าใหม่ ดังนั้นจึงไม่จำเป็นต้องโหลดโมดูลเคอร์เนลซ้ำ ข้อเสียเพียงอย่างเดียวคือเพื่อให้ทั้งหมดนี้ทำงานได้อย่างถูกต้อง การกำหนดค่าต้องทำผ่าน firewalld และเครื่องมือกำหนดค่า (firewall-cmd หรือ firewall-config) Firewalld สามารถเพิ่มกฎโดยใช้ไวยากรณ์เดียวกันกับคำสั่ง {ip,ip6,eb}tables (กฎโดยตรง)
ไฟร์วอลล์ 1.3
ปัจจุบัน Firewalld อยู่ในเวอร์ชัน 1.3 ซึ่งเพิ่งเปิดตัวและเน้นการเปลี่ยนแปลงต่อไปนี้:
- บริการที่เข้ากันได้กับแอปพลิเคชันแชร์ไฟล์ Warpinator ที่พัฒนาโดย Linux Mint ได้ถูกนำมาใช้แล้ว
- เพิ่มบริการ Bareos-Director, Bareos-filedaemon และ Bareos-Storage เพื่อรองรับระบบสำรองข้อมูล Bareos
- มีการใช้กฎการกำบังสำหรับแบ็กเอนด์ nftables ซึ่งอนุญาตให้คุณผูกอินเทอร์เฟซเครือข่ายกับโซนที่ประมวลผลทราฟฟิกขาเข้า สำหรับแบ็กเอนด์ iptables ไม่รองรับฟีเจอร์นี้
- เพิ่มบริการสำหรับเครือข่าย P2P แบบโอเวอร์เลย์ของ Nebula
- เพิ่มบริการสำหรับระบบส่งออกตัวชี้วัด Ceph ไปยังฐานข้อมูล Prometheus
- เพิ่มบริการที่สนับสนุนโปรโตคอล OMG DDS (Object Management Group Data Distribution Service)
- มีการเพิ่มบริการเพื่อดำเนินการตามคำขอของลูกค้าเพื่อกำหนดชื่อโฮสต์โดยใช้โปรโตคอล LLMNR (Link-Local Multicast Name Resolution)
- เพิ่มบริการสำหรับโปรโตคอล ps2link ที่ใช้ในการสื่อสารกับเครื่องเล่นเกม PlayStation 2
- มีการเพิ่มบริการเพื่อรองรับการทำงานของเซิร์ฟเวอร์สำหรับระบบการซิงโครไนซ์ไฟล์ Syncthing
หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันใหม่นี้ คุณสามารถศึกษารายละเอียดใน ลิงค์ต่อไปนี้
รับ Firewalld
สุดท้ายสำหรับผู้ที่เป็น สนใจที่จะติดตั้งไฟร์วอลล์นี้คุณควรรู้ว่าโปรเจ็กต์นี้มีการใช้งานอยู่แล้วในลีนุกซ์รุ่นต่างๆ รวมถึง RHEL 7+, Fedora 18+ และ SUSE/openSUSE 15+ รหัส firewalld เขียนด้วยภาษา Python และเผยแพร่ภายใต้ลิขสิทธิ์ GPLv2
คุณสามารถรับซอร์สโค้ดสำหรับบิลด์ของคุณ จากลิงค์ด้านล่าง
มีการรองรับ Wayland หรือไม่?
มันสมเหตุสมผลแล้วที่คุณไปที่เกาะสุนัขจิ้งจอกในญี่ปุ่นและคุณนำสุนัขจิ้งจอกทั้งหมดมาดูแลเล้าไก่ของคุณ... ใช่แล้ว สุภาพบุรุษ นั่นคือ dbus เพื่อจัดการกฎการกรอง