Firewalld, một công cụ quản lý tường lửa tuyệt vời

Hầu hết các Các bản phân phối Linux có dịch vụ tường lửa riêng dựng sẵn nên người dùng thường không phải can thiệp vào phần này. Nhưng đôi khi một số loại cấu hình đặc biệt là cần thiết hoặc cho bất kỳ thứ gì khác mà người dùng muốn.

Và đó là lý do tại sao ngày nay hãy nói về tường lửa, cái nào là một tường lửa có thể quản lý động, về cơ bản cho phép bạn quản lý Tường lửa với sự hỗ trợ cho các vùng mạng để xác định mức độ tin cậy của các mạng hoặc giao diện bạn sử dụng để kết nối. Nó có hỗ trợ cho các cấu hình cầu nối IPv4, IPv6 và ethernet.

Giới thiệu về tường lửa

tường lửa là được triển khai như một trình bao bọc trên các bộ lọc gói nftables và iptables. Firewalld chạy như một quy trình nền cho phép các quy tắc lọc gói được thay đổi động qua D-Bus mà không cần tải lại các quy tắc lọc gói và không ngắt kết nối đã thiết lập.

Để quản lý tường lửa, tiện ích tường lửa-cmd được sử dụng, khi tạo quy tắc, không dựa trên địa chỉ IP, giao diện mạng và số cổng, mà dựa trên tên của dịch vụ, chẳng hạn như để mở quyền truy cập SSH, để đóng SSH, trong số những thứ khác.

Giao diện đồ họa tường lửa-config (GTK) và applet tường lửa (Qt) cũng có thể được sử dụng để thay đổi cài đặt tường lửa. Hỗ trợ quản lý thông qua tường lửa API D-BUS có sẵn trong các dự án như NetworkManager, libvirt, podman, docker và fail2ban.

Bên cạnh đó, tường lửa duy trì cấu hình đang chạy và cấu hình cố định riêng biệt. Do đó, tường lửa cũng cung cấp giao diện cho các ứng dụng để thêm các quy tắc một cách thuận tiện.

Mô hình trước đó (system-config-firewall/lokkit) là tĩnh và mỗi thay đổi đều yêu cầu khởi động lại cứng. Điều này có nghĩa là phải dỡ bỏ các mô-đun hạt nhân (ví dụ: netfilter) và tải lại chúng ở mọi cấu hình. Ngoài ra, việc khởi động lại này đồng nghĩa với việc mất thông tin trạng thái của các kết nối đã thiết lập.

Ngược lại, tường lửa không yêu cầu khởi động lại dịch vụ để áp dụng cấu hình mới. Do đó, không cần thiết phải tải lại các mô-đun hạt nhân. Hạn chế duy nhất là để tất cả những thứ này hoạt động chính xác, cấu hình phải được thực hiện thông qua tường lửa và các công cụ cấu hình của nó (tường lửa-cmd hoặc tường lửa-config). Firewalld có khả năng thêm các quy tắc sử dụng cú pháp tương tự như các lệnh bảng {ip,ip6,eb} (quy tắc trực tiếp).

Tường lửa 1.3

Hiện tại, Firewalld đang ở phiên bản 1.3, phiên bản mới được phát hành gần đây và có các thay đổi sau:

• Một dịch vụ tương thích với ứng dụng chia sẻ tệp Warpinator do bản phân phối Linux Mint phát triển đã được triển khai.
• Đã thêm các dịch vụ bareos-director, bareos-filedaemon và bareos-storage để hỗ trợ hệ thống sao lưu Bareos.
• Một quy tắc ẩn đã được triển khai cho phụ trợ nftables, cho phép bạn liên kết các giao diện mạng với một vùng xử lý lưu lượng truy cập đến. Đối với phụ trợ iptables, tính năng này không được hỗ trợ.
• Đã thêm dịch vụ cho các mạng P2P lớp phủ của Nebula.
• Đã thêm dịch vụ cho hệ thống xuất chỉ số Ceph vào cơ sở dữ liệu Prometheus.
• Đã thêm dịch vụ hỗ trợ giao thức OMG DDS (Dịch vụ phân phối dữ liệu nhóm quản lý đối tượng).
• Một dịch vụ đã được thêm vào để xử lý các yêu cầu của máy khách nhằm xác định tên máy chủ bằng giao thức LLMNR (Giải quyết tên đa hướng liên kết cục bộ).
• Đã thêm dịch vụ cho giao thức ps2link được sử dụng để giao tiếp với máy chơi game PlayStation 2.
• Một dịch vụ đã được thêm vào để hỗ trợ hoạt động của máy chủ cho hệ thống đồng bộ hóa tệp Syncthing.

Nếu bạn quan tâm muốn biết thêm về phiên bản mới này, bạn có thể tham khảo thông tin chi tiết tại liên kết theo dõi.

Nhận tường lửa

Cuối cùng cho những ai quan tâm đến việc có thể cài đặt Tường lửa này, bạn nên biết rằng dự án đã được sử dụng trên nhiều bản phân phối Linux, bao gồm RHEL 7+, Fedora 18+ và SUSE / openSUSE 15+. Mã firewalld được viết bằng Python và được phát hành theo giấy phép GPLv2.

Bạn có thể lấy mã nguồn cho bản dựng của mình từ liên kết bên dưới.