The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск межсетевого экрана firewalld 2.3.0

05.11.2024 22:11

Сформирован выпуск динамически управляемого межсетевого экрана firewalld 2.3, реализованного в форме обвязки над пакетными фильтрами nftables и iptables. Firewalld запускается в виде фонового процесса, позволяющего динамически изменять правила пакетного фильтра через D-Bus, без необходимости перезагрузки правил пакетного фильтра и без разрыва установленных соединений. Проект уже применяется во многих дистрибутивах Linux, включая RHEL 7+, Fedora 18+ и SUSE/openSUSE 15+. Код firewalld написан на языке Python и распространяется под лицензией GPLv2.

Для управления межсетевым экраном используется утилита firewall-cmd, которая при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб (например, для открытия доступа к SSH нужно выполнить "firewall-cmd --add --service=ssh", для закрытия SSH - "firewall-cmd --remove --service=ssh"). Для изменения конфигурации межсетевого экрана также может использоваться графический интерфейс firewall-config (GTK) и апплет firewall-applet (Qt). Поддержка управления межсетевым экраном через D-BUS API firewalld имеется в таких проектах, как NetworkManager, libvirt, podman, docker и fail2ban.

Ключевые изменения:

  • Добавлена настройка StrictForwardPorts, управляющая генерацией правил перенаправления сетевых портов (DNAT).
  • Добавлен сервис для aseqnet, клиент-серверного приложения для взаимодействия с секвенсором ALSA по сети.
  • Добавлен сервис для медиаплеера MPD (Music Player Daemon).
  • Добавлен сервис для протокола Radsec (RFC-6614), позволяющего использовать протокол RADIUS поверх TCP и TLS.
  • Добавлен сервис для системы SlimeVR, собирающей данные с датчиков для отслеживания движения тела в системах виртуальной реальности.


  1. Главная ссылка к новости (https://github.com/firewalld/f...)
  2. OpenNews: Выпуск межсетевого экрана firewalld 2.2.0
  3. OpenNews: Доступны межсетевые экраны OpenSnitch 1.6.0 и firewalld 2.0
  4. OpenNews: Опубликован межсетевой экран приложений Portmaster 1.0
  5. OpenNews: Выпуск интерактивного межсетевого экрана TinyWall 2.0
  6. OpenNews: Выпуск пакетного фильтра nftables 1.1.0
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62183-firewalld
Ключевые слова: firewalld, firewalld
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (14) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 23:11, 05/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Субъективно очень неудобная штука. После ufw команды firewall-cmd, казалось, объявили принципу наименьшего удивления войну
     
     
  • 2.11, Аноним (11), 01:08, 06/11/2024 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 2.12, Аноним (12), 01:19, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Я даже не понял, почему она в RedHat-based Distros нужна, с одной стороны не сильно упрощает, с другой стороны на серверах вызывает инциденты в неожиданных местах.
     

  • 1.2, Аноним (2), 23:18, 05/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >при создании правил отталкивается не от IP-адресов, сетевых интерфейсов и номеров портов, а от названий служб

    Дайте угадаю, вы ведь ни разу не пользовались "firewall-cmd"?
    Как бы, никто не запрещает вам создавать правила\открывать порты tcp\udp напрямую.
    И даже больше - можно создавать "рич правла", прямо в формате iptables\nftables.
    Просто для упрощения, есть некий предустановленный список сервисов(с умолчательными портами), а вы в новости вывели это прям как некую аксиому.

     
  • 1.3, Аноним (3), 23:33, 05/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Необходимость создания "упрощающих прослоек" -- показатель непрофессионализма проектирования nftables. Или их правильнее называть narcotables?
     
     
  • 2.6, Аноним (2), 00:01, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, справедливости ради, синтаксис iptables
     
     
  • 3.7, Аноним (2), 00:02, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тоже с первого раза не всякий осилит.
    А там, как мы помним, важны всякие чейны в определенной последовательности, иначе работать не будет.
     
  • 2.13, WE (?), 02:38, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    во-первых императивное описание конфигурации это как бы лет 15 уже не рекомендованный метод, поэтому для систем оркестрации желателен демон. И он достаточно не простой, по сравнению с утилиткой ufw.
    во-вторых синтаксис у nftables действительно упоротый, как-то читаемо там только в json.
     

  • 1.4, Аноним (4), 23:54, 05/11/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Безопасный фаерволл на python управляемый через D-Bus? Что может пойти не так..
     
     
  • 2.5, Аноним (2), 00:00, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это не совсем файрволл - это скорее управляющая прослойка НАД файрволлом.
     
     
  • 3.8, Аноним (2), 00:05, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    или же, если говорить правильней - просто еще один уровень абстракции.
    Для чего он создан? Для упрощения.
    Никто вам не запрещает писать напрямую правила iptables\nftables!
     
     
  • 4.9, Аноним (9), 00:34, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему ты все время отправляешь по два сообщения вместо одного?
     
     
  • 5.14, тпаываы (?), 02:42, 06/11/2024 [^] [^^] [^^^] [ответить]  
  • +/
    мту маленький, не влезает
     

  • 1.10, Аноним (11), 01:01, 06/11/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру