firewalld, чудова утиліта, яка захищає та блокує мережевий трафік
Кілька днів тому анонсовано випуск нової версії firewalld 2.0, яка є основною версією, що окрім позначення зміни гілки, випуск пов’язаний із виправленням проблем політики, а також покращенням підтримки тощо.
Для тих, хто не знає про Firewalld, вони повинні знати, що це так реалізований як обгортка над фільтрами пакетів nftables та iptables. Firewalld працює як фоновий процес, який дозволяє динамічно змінювати правила фільтрації пакетів через D-Bus без перезавантаження правил фільтрації пакетів і без розриву встановлених з’єднань.
Для управління брандмауером використовується утиліта firewall-cmd, яка при створенні правил базується не на IP-адресах, мережевих інтерфейсах і номерах портів, а на назвах служб, наприклад, відкрити доступ до SSH, закрити SSH, серед інших.
Графічний інтерфейс firewall-config (GTK) і аплет firewall-applet (Qt) також можна використовувати для зміни параметрів брандмауера. Підтримка керування через D-BUS API firewalld доступна в таких проектах, як NetworkManager, libvirt, podman, docker і fail2ban.
Крім того, firewalld підтримує поточну та постійну конфігурації окремо. Таким чином, firewalld також надає інтерфейс для додатків, щоб зручно додавати правила.
Основні нові можливості firewalld 2.0
Як згадувалося на початку, цей випуск виділяється внесення змін до політики, які порушують зворотну сумісність і вони усувають проблему з правилами обробки, які приписують обробку вхідних пакетів тільки по відношенню до зони в ситуації, коли діапазони адрес перекриваються іншими зонами (якщо діапазони адрес в зонах перекриваються, то пакет може потрапити в кілька зон , нехтуючи вказаними правилами).
Інші зміни, які виділяються в цій новій версії firewalld 2.0, це додана підтримка nftables, який дозволяє використовувати механізм вибору шляху пересилання пакетів потокової таблиці, що може значно покращити продуктивність пересилання трафіку.
Ми також можемо це знайти додано конфігурацію NftablesCounters для використання лічильників пакетів nftables. Firewalld із увімкненою NftablesFlowtable збільшив продуктивність iperf із мережевим переадресуванням приблизно на 59%.
На додаток до цього, ми також можемо знайти це додана підтримка встановлення різних пріоритетів для зон, що дозволяє користувачеві контролювати порядок, у якому пакети надходять до зон.
З іншого боку, варто сказати, що у Firewalld 2.0 службу клієнта TFTP було видалено, який в основному не працював, як очікувалося, оскільки він був включений, щоб забезпечити потужність отримати доступ до серверів. Який «ніколи не працював» при додаванні до зони.
З інших змін що виділяються з цієї нової версії:
- Додано служби для підтримки Zabbix Java Gateway і Zabbix Web Service.
- Додано сервіси, що підтримують Minecraft, 0AD, anno 1602, anno 1800, Civilization IV, Civilization V, factorio, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, Super Tux kart, Terraria, Zero K і Settlers.
- Агрегований сервіс для OpenTelemetry (OTLP).
- Крім того, політика ігнорувала деякі давні правила щодо території.
– Джерела завжди надсилаються перед інтерфейсами
– Джерела сортуються за назвою зони
Якщо вам цікаво дізнатися більше про цю нову версію, ви можете переглянути подробиці в наступне посилання.
Отримати Firewalld
Нарешті для тих, хто є зацікавлені в можливості встановити цей брандмауер, вам слід знати, що проект уже використовується в багатьох дистрибутивах Linux, включаючи RHEL 7+, Fedora 18+ і SUSE/openSUSE 15+. Код брандмауера написаний на Python і випущений за ліцензією GPLv2.
Ви можете отримати вихідний код для своєї збірки за посиланням нижче.