Firewalld - Firewalld

Не путать с Брандмауэр.
Firewalld
Разработчики)Томас Вернер, Red Hat, Inc.
изначальный выпуск3 января 2011 г.; 9 лет назад (2011-01-03)[1]
Стабильный выпуск
0.9.0 / 2 сентября 2020 г.; 2 месяца назад (2020-09-02)
Репозиторийgithub.com/ firewalld/ firewalld.git
Написано вPython
Операционная системаLinux
ПлатформаNetfilter
ЛицензияСтандартная общественная лицензия GNU 2
Интернет сайтwww.firewalld.org

Firewalld это брандмауэр инструмент управления для Операционные системы Linux. Он обеспечивает функции брандмауэра, выступая в качестве интерфейса для ядра Linux. сетевой фильтр рамки через столы утилита пользовательского пространства (до v0.6.0 iptables бэкэнд),[2] действует как альтернатива программе командной строки nft. Название Firewalld придерживается Unix соглашение о системе именования демоны добавив букву «д».[3]

firewalld написан на Python. Он был предназначен для переноса на C ++, но в январе 2015 года от проекта по портированию отказались.[4]

Функции

firewalld поддерживает оба IPv4 и IPv6 сетей и может управлять отдельными зоны межсетевого экрана с разной степенью доверия, как определено в профили зон. Администраторы могут настраивать Сетевой менеджер для автоматического переключения профилей зон на основе известных Вай фай (беспроводной) и Ethernet (проводные) сети, но firewalld не может этого сделать самостоятельно.[5]

Сервисы и приложения могут использовать D-автобус интерфейс для запроса и настройки брандмауэра.[6] firewalld поддерживает временные правила, то есть количество подключений (или «попаданий») к службе может быть ограничено глобально. Нет поддержки для подсчета совпадений и последующего отказа в подключении для каждого IP-адреса источника; распространенный метод, используемый для ограничения воздействия грубая сила взлом и Распределенный отказ в обслуживании атаки.[7]

Синтаксис команд firewalld похож на синтаксис, но более подробный, чем у других iptables интерфейсы вроде Ubuntu с Несложный брандмауэр (уфв).[7] Интерфейс командной строки позволяет управлять наборами правил брандмауэра для протокола, портов, источника и назначения; или предварительно определенные службы по имени.

Услуги определяются как XML файлы, содержащие сопоставления портов и протоколов, а также дополнительную информацию, например указание подсети и перечисление необходимых вспомогательных модулей ядра.[8]Синтаксис похож на синтаксис systemd служебные файлы. Простой служебный файл для прослушивания веб-сервера TCP порт 443 может выглядеть так:

<?xml version="1.0" encoding="utf-8"?><service>  <short>Веб сервер</short>  <description>Публичный веб-хостинг по HTTPS.</description>  <порт порт ="443" протокол ="TCP" /></service>

Ограничения:

Firewalld в настоящее время не поддерживает исходящие правила в той же степени, что и правила для входящих. Ограничения включают такие вещи, как ipsets, имена служб и исходящая блокировка по умолчанию по правилам по умолчанию, требуемым такими стандартами, как NIST 800-171 и 800-53. Блокировка по умолчанию должна выполняться на «исходном» уровне IPTables с помощью флага --direct, а с учетом порядка операций, которые FirewallD использует для определения приоритетов Rrules, rich rules, direct rules, может быть проще ввести все правила для исходящих через --direct или использовать iptables (netfilter-persist)

Графические интерфейсы (GUI)

firewall-config - это графический интерфейс, который опционально входит в состав firewalld и поддерживает большинство его функций.

брандмауэр-апплет это небольшая утилита индикатора состояния, которая может быть включена в firewalld. Он может предоставлять уведомления журнала событий брандмауэра, а также быстрый способ открыть firewall-config. firewall-апплет был перенесен из GTK + к Qt фреймворком летом 2015 г. после Рабочий стол GNOME Отказ от системный трей иконы.[9]

Принятие

firewalld по умолчанию поставляется в следующих дистрибутивах Linux:[6]

firewalld включен по умолчанию во всех этих дистрибутивах. firewalld также доступен как один из множества вариантов брандмауэра в репозитории пакетов многих других популярных дистрибутивов, таких как Debian[11] или Ubuntu.

Рекомендации

  1. ^ "Firewalld релизы". репозиторий github.com. Получено 29 марта 2017.
  2. ^ «Релиз firewalld-0.6.0 · firewalld / firewalld». Firewalld на github. Получено 2019-06-12.
  3. ^ Керриск, Майкл (2010). Программный интерфейс Linux. Сан-Франциско, Калифорния: без крахмала. п.768. ISBN  9781593272203.
  4. ^ "страница разработки firewalld". веб-сайт проекта firewalld. Архивировано из оригинал 3 февраля 2016 г.. Получено 9 февраля 2016.
  5. ^ "FirewallD". Вики сообщества Fedora. Получено 9 февраля 2016.
  6. ^ а б "домашняя страница проекта firewalld". веб-сайт проекта firewalld. Получено 9 февраля 2016.
  7. ^ а б Александерсен, Даниэль. «Сравнение и противопоставление несложного межсетевого экрана и FirewallD». Незначительное будущее. Получено 9 февраля 2016.
  8. ^ "файлы конфигурации службы firewalld". Тема Томаса Вернера на сайте Fedora People. Получено 9 февраля 2016.
  9. ^ Вернер, Томас. "На пути к Qt". блог firewalld. Архивировано из оригинал 16 февраля 2016 г.. Получено 9 февраля 2016.
  10. ^ а б https://en.opensuse.org/Firewalld
  11. ^ "Пакет: firewalld". Репозиторий пакетов Debian. Получено 9 февраля 2016.