Firewalld, чудовий інструмент керування брандмауером

Більшість Дистрибутиви Linux мають власні служби брандмауера попередньо створений, тому користувачеві зазвичай не потрібно втручатися в цю частину. Але іноді потрібна якась спеціальна конфігурація або для чогось іншого, що забажає користувач.

І тому сьогодні давайте поговоримо про брандмауер, який це динамічно керований брандмауер, в основному дозволяє вам керувати брандмауером із підтримкою мережевих зон, щоб визначити рівень надійності мереж або інтерфейсів, які ви використовуєте для підключення. Він підтримує конфігурації IPv4, IPv6 і Ethernet.

Про Firewalld

Брандмауер є реалізований як обгортка над фільтрами пакетів nftables та iptables. Firewalld працює як фоновий процес, який дозволяє динамічно змінювати правила фільтрації пакетів через D-Bus без перезавантаження правил фільтрації пакетів і без розриву встановлених з’єднань.

Для управління брандмауером використовується утиліта firewall-cmd, яка при створенні правил базується не на IP-адресах, мережевих інтерфейсах і номерах портів, а на назвах служб, наприклад, відкрити доступ до SSH, закрити SSH, серед інших.

Графічний інтерфейс firewall-config (GTK) і аплет firewall-applet (Qt) також можна використовувати для зміни параметрів брандмауера. Підтримка керування через D-BUS API firewalld доступна в таких проектах, як NetworkManager, libvirt, podman, docker і fail2ban.

Крім того, firewalld підтримує поточну та постійну конфігурації окремо. Таким чином, firewalld також надає інтерфейс для додатків, щоб зручно додавати правила.

Попередня модель (system-config-firewall/lokkit) була статичною, і кожна зміна вимагала жорсткого перезавантаження. Це означало необхідність вивантажувати модулі ядра (наприклад, netfilter) і перезавантажувати їх при кожній конфігурації. Крім того, цей перезапуск означав втрату інформації про стан встановлених з’єднань.

Натомість firewalld не потребує перезапуску служби для застосування нової конфігурації. Тому немає необхідності перезавантажувати модулі ядра. Єдиним недоліком є ​​те, що для того, щоб усе це працювало належним чином, конфігурація повинна бути виконана через firewalld та його інструменти налаштування (firewall-cmd або firewall-config). Firewalld може додавати правила, використовуючи той самий синтаксис, що й команди {ip,ip6,eb}tables (прямі правила).

Брандмауер 1.3

Наразі Firewalld знаходиться у своїй версії 1.3, яка нещодавно була випущена, і в ній виділяються такі зміни:

• Реалізовано сервіс, сумісний із програмою обміну файлами Warpinator, розробленою дистрибутивом Linux Mint.
• Додано служби bareos-director, bareos-filedaemon і bareos-storage для підтримки системи резервного копіювання Bareos.
• Для серверної частини nftables реалізовано правило маскування, яке дозволяє прив’язувати мережеві інтерфейси до зони, яка обробляє вхідний трафік. Для серверної частини iptables ця функція не підтримується.
• Додано послугу для накладання P2P-мереж Nebula.
• Додано сервіс для системи експорту метрик Ceph до бази даних Prometheus.
• Додано службу, яка підтримує протокол OMG DDS (Object Management Group Data Distribution Service).
• Додано службу для обробки запитів клієнтів для визначення імен хостів за допомогою протоколу LLMNR (Link-Local Multicast Name Resolution).
• Додано службу для протоколу ps2link, який використовується для зв’язку з ігровими консолями PlayStation 2.
• Додано сервіс підтримки роботи сервера для системи синхронізації файлів Syncthing.

Якщо вам цікаво дізнатися більше про цю нову версію, ви можете переглянути подробиці в наступне посилання.

Отримати Firewalld

Нарешті для тих, хто є зацікавлені в можливості встановити цей брандмауер, вам слід знати, що проект уже використовується в багатьох дистрибутивах Linux, включаючи RHEL 7+, Fedora 18+ і SUSE/openSUSE 15+. Код брандмауера написаний на Python і випущений за ліцензією GPLv2.

Ви можете отримати вихідний код для своєї збірки за посиланням нижче.