Většina Linuxové distribuce mají své vlastní firewallové služby předpřipravený, takže uživatel do této části většinou nemusí zasahovat. Ale někdy je nutná nějaká speciální konfigurace nebo pro cokoli jiného, co uživatel chce.
A proto dnes promluvme si o firewallukterý je dynamicky spravovatelný firewall, v podstatě vám umožňuje spravovat bránu firewall s podporou síťových zón pro definování úrovně spolehlivosti sítí nebo rozhraní, která používáte k připojení. Má podporu pro konfigurace IPv4, IPv6 a ethernet bridge.
O Firewallu
Firewall je implementován jako obal přes paketové filtry nftables a iptables. Firewalld běží jako proces na pozadí, který umožňuje dynamicky měnit pravidla paketového filtru přes D-Bus bez opětovného načítání pravidel paketového filtru a bez odpojování navázaných spojení.
Ke správě firewallu se používá utilita firewall-cmd, která se při vytváření pravidel nezakládá na IP adresách, síťových rozhraních a číslech portů, ale na názvech služeb, např. k otevření přístupu k SSH, k uzavření SSH, mimo jiné.
Grafické rozhraní firewall-config (GTK) a aplet firewall-applet (Qt). lze použít ke změně nastavení brány firewall. Podpora pro správu přes D-BUS API firewalld je dostupná v projektech jako NetworkManager, libvirt, podman, docker a fail2ban.
Navíc, firewalld udržuje běžící a trvalou konfiguraci odděleně. Firewalld tedy také poskytuje aplikacím rozhraní pro přidávání pravidel pohodlným způsobem.
Předchozí model (system-config-firewall/lokkit) byl statický a každá změna vyžadovala tvrdý restart. To znamenalo nutnost vyjmout moduly jádra (např.: netfilter) a znovu je načíst při každé konfiguraci. Tento restart navíc znamenal ztrátu informací o stavu navázaných spojení.
Naproti tomu firewalld nevyžaduje restart služby k použití nové konfigurace. Proto není nutné znovu načítat moduly jádra. Jedinou nevýhodou je, že aby toto vše správně fungovalo, musí být konfigurace provedena přes firewalld a jeho konfigurační nástroje (firewall-cmd nebo firewall-config). Firewalld je schopen přidávat pravidla pomocí stejné syntaxe jako příkazy {ip,ip6,eb}tables (přímá pravidla).
Firewall 1.3
V současné době je Firewalld ve své verzi 1.3, která byla nedávno vydána a zdůrazňuje následující změny:
- Byla implementována služba kompatibilní s aplikací pro sdílení souborů Warpinator vyvinutou distribucí Linux Mint.
- Přidány služby bareos-director, bareos-filedaemon a bareos-storage pro podporu zálohovacího systému Bareos.
- Pro backend nftables bylo implementováno maskovací pravidlo, které umožňuje svázat síťová rozhraní se zónou, která zpracovává příchozí provoz. Pro backend iptables není tato funkce podporována.
- Přidána služba pro překryvné P2P sítě Nebula.
- Do databáze Prometheus přidána služba pro systém exportu metrik Ceph.
- Přidána služba, která podporuje protokol OMG DDS (Object Management Group Data Distribution Service).
- Byla přidána služba pro zpracování požadavků klientů na určení názvů hostitelů pomocí protokolu LLMNR (Link-Local Multicast Name Resolution).
- Přidána služba pro protokol ps2link používaný ke komunikaci s herními konzolemi PlayStation 2.
- Byla přidána služba na podporu provozu serveru pro systém synchronizace souborů Syncthing.
Pokud máte zájem dozvědět se více o této nové verzi, můžete se podívat na podrobnosti v následující odkaz.
Získejte Firewalld
Konečně pro ty, kteří jsou zájem o instalaci této brány firewall, měli byste vědět, že projekt se již používá v mnoha distribucích Linuxu, včetně RHEL 7+, Fedora 18+ a SUSE/openSUSE 15+. Firewallový kód je napsán v Pythonu a je vydán pod licencí GPLv2.
Můžete získat zdrojový kód pro vaši sestavu z níže uvedeného odkazu.
Má podporu pro Wayland?
Dává to smysl, když jedete na ostrov lišek v Japonsku a přivezete všechny lišky a dáte je do péče o váš kurník... ano, pánové, to je dbus, aby spravoval pravidla filtrování.