firewalld, una excel·lent utilitat que protegeix i bloqueja el trànsit de xarxa
Fa pocs dies es va donar a conèixer el llançament de la nova versió de firewalld 2.0, la qual és una versió important que a més de marcar el canvi de branca, el llançament és degut a la correcció dels problemes de polítiques, així com també millores de suport i més.
Per als que desconeixen de Firewalld, han de saber que està implementat en forma de contenidor sobre els filtres de paquets nftables i iptables. Firewalld s'executa com un procés en segon pla que permet que les regles de filtratge de paquets es canviïn dinàmicament a través de D-Bus sense haver de tornar a carregar les regles de filtratge de paquets i sense desconnectar les connexions establertes.
Per administrar el tallafoc, s'utilitza la utilitat tallafoc-cmd que, en crear regles, no es basa en les adreces IP, les interfícies de xarxa i els números de port, sinó en els noms dels serveis per exemple, per obrir l'accés a SSH, per tancar SSH, entre d'altres.
La interfície gràfica firewall-config (GTK) i el subprograma firewall-applet (Qt) també es poden utilitzar per canviar la configuració del tallafoc. La compatibilitat amb la gestió mitjançant D-BUS API firewalld està disponible en projectes com NetworkManager, libvirt, podman, docker i fail2ban.
A més, firewalld manté de forma separada una configuració en execució i una altra permanent. Així, firewalld també ofereix una interfície perquè les aplicacions puguin afegir regles d'una manera còmoda.
Principals novetats de firewalld 2.0
Tal com es va esmentar a l'inici, aquest llançament es destaca per la introducció de canvis a les polítiques que violen la compatibilitat amb versions anteriors i eliminen el problema amb el processament de regles que prescriuen el processament de paquets entrants només en relació amb una zona en una situació on els rangs d'adreces se superposen amb altres zones (si els rangs d'adreces a les zones se superposen, aleshores el paquet podria caure a diverses zones, passant per alt les regles especificades).
Altres canvis que es destaquen d'aquesta nova versió de firewalld 2.0 és el suport afegit per a nftables, el qual permet poder utilitzar el mecanisme de selecció de ruta de reenviament de paquets de taula de flux, que pot millorar significativament el rendiment del reenviament de trànsit.
També podrem trobar que s'ha afegit la configuració de NftablesCounters per utilitzar comptadors de paquets de nftables. Firewalld amb NftablesFlowtable habilitat ha augmentat el rendiment d'iperf amb reenviament de xarxa en aproximadament un 59%.
A més, també podrem trobar que es va afegir el suport per establir diferents prioritats per a les zones, el que permet a l'usuari poder controlar l'ordre en què els paquets ingressen a les zones.
D'altra banda, val la pena esmentar que a Firewalld 2.0 s'elimina el servei de client TFTP, el qual bàsicament no funciono com s'esperava, ja que aquest va ser incorporat amb la finalitat de permetre poder accedir als servidors. Cosa que «en realitat no va funcionar mai» quan s'afegia a una zona.
Dels altres canvis que es destaquen d'aquesta nova versió:
- Es van afegir serveis per admetre Zabbix Java Gateway i Zabbix Web Service.
- Es van afegir serveis compatibles amb Minecraft, 0AD, anno 1602, anno 1800, Civilization IV, Civilization V, factori, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, Super Tux kart, Terraria, Zero K i Settlers.
- Servei agregat per a OpenTelemetry (OTLP).
- A més, les polítiques van ignorar algunes regles de llarga data sobre la zona.
– Les fonts sempre s'envien abans que les interfícies
– Les fonts s'ordenen per nom de zona
Si estàs interessat en poder conèixer més sobre aquesta nova versió, pots consultar els detalls al següent enllaç.
Obtenir Firewalld
Finalment per als que estiguin interessats en poder instal·lar aquest Firewall, han de saber que el projecte ja està en ús en moltes distribucions de Linux, incloses RHEL 7+, Fedora 18+ i SUSE/openSUSE 15+. El codi de firewalld està escrit a Python i es distribueix sota la llicència GPLv2.
Podeu obtenir el codi font per a la seva compilació des del següent enllaç.