Эта статья может быть слишком технической, чтобы ее могло понять большинство читателей . Январь 2019 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения ) ( |
Разработчики) | Томас Вернер, Red Hat, Inc. |
---|---|
изначальный выпуск | 3 января 2011 г . [1] |
Стабильный выпуск | 0.9.0 / 2 сентября 2020 г . |
Репозиторий | github |
Написано в | Python |
Операционная система | Linux |
Платформа | Netfilter |
Лицензия | Стандартная общественная лицензия GNU 2 |
Интернет сайт | www |
firewalld - это инструмент управления брандмауэром для операционных систем Linux . Он обеспечивает функции брандмауэра, выступая в качестве внешнего интерфейса для инфраструктуры netfilter ядра Linux с помощью утилиты пользовательского пространства nftables (до v0.6.0 backend iptables ) [2], выступая в качестве альтернативы программе командной строки nft. Имя firewalld соответствует соглашению Unix об именах системных демонов , добавляя букву «d». [3]
firewalld написан на Python . Предполагалось, что он будет перенесен на C ++ , но проект переноса был прекращен в январе 2015 года. [4]
Особенности [ править ]
firewalld поддерживает сети IPv4 и IPv6 и может администрировать отдельные зоны межсетевого экрана с различной степенью доверия, как определено в профилях зон . Администраторы могут настроить Network Manager на автоматическое переключение профилей зон на основе известных сетей Wi-Fi (беспроводная) и Ethernet (проводная), но firewalld не может этого сделать самостоятельно. [5]
Службы и приложения могут использовать интерфейс D-Bus для запроса и настройки брандмауэра. [6] firewalld поддерживает временные правила, то есть количество подключений (или «попаданий») к сервису может быть ограничено глобально. Нет поддержки для подсчета посещений и последующего отклонения соединения для каждого IP-адреса источника; распространенный метод, используемый для ограничения воздействия взлома методом грубой силы и распределенных атак типа «отказ в обслуживании» . [7]
Синтаксис команды firewalld подобен , но более многословен , чем другие IPTables передних концов , как Ubuntu «s неосложненный Firewall (UFW). [7] Интерфейс командной строки позволяет управлять наборами правил брандмауэра для протокола, портов, источника и назначения; или предварительно определенные службы по имени.
Службы определяются как файлы XML, содержащие сопоставления портов и протоколов, а также необязательно дополнительную информацию, такую как указание подсетей и перечисление необходимых вспомогательных модулей ядра. [8] Синтаксис похож на синтаксис служебных файлов systemd . Простой служебный файл для веб-сервера, прослушивающего TCP- порт 443, может выглядеть следующим образом:
<? xml version = "1.0" encoding = "utf-8"?> <service> <short> Веб-сервер </short> <description> Общедоступный веб-хост через HTTPS. </description> <port port = "443" protocol = "tcp" /> </service>
Ограничения:
Firewalld в настоящее время не поддерживает исходящие правила в той же степени, что и правила для входящих. Ограничения включают такие вещи, как ipsets, имена служб и исходящая блокировка по умолчанию по правилам по умолчанию, требуемым такими стандартами, как NIST 800-171 и 800-53. Блокировка по умолчанию должна выполняться на «исходном» уровне IPTables с помощью флага --direct, а с учетом порядка операций, которые FirewallD использует для определения приоритетов Rrules, rich rules, direct rules, может быть проще ввести все правила для исходящих через --direct или использовать iptables (netfilter-persist)
Графические интерфейсы (GUI) [ править ]
firewall-config - это графический интерфейс, который может быть включен в firewalld, с поддержкой большинства его функций.
firewall-applet - это небольшая утилита индикатора состояния, которая может быть включена в firewalld. Он может предоставлять уведомления журнала событий брандмауэра, а также быстрый способ открыть firewall-config. firewall-applet был перенесен с GTK + на платформу Qt летом 2015 года после того, как рабочий стол GNOME отказался от значков на панели задач . [9]
Принятие [ править ]
firewalld по умолчанию поставляется в следующих дистрибутивах Linux: [6]
- CentOS 7 и новее
- Fedora 18 и новее
- OpenSUSE Leap 15 и новее [10]
- Red Hat Enterprise Linux 7 и новее
- SUSE Linux Enterprise 15 и новее [10]
firewalld включен по умолчанию во всех этих дистрибутивах. firewalld также доступен как один из множества вариантов брандмауэра в репозитории пакетов многих других популярных дистрибутивов, таких как Debian [11] или Ubuntu.
Ссылки [ править ]
- ^ "Firewalld релизы" . Репозиторий github.com . Проверено 29 марта 2017 года .
- ^ "Выпуск firewalld-0.6.0 · firewalld / firewalld" . Firewalld на github . Проверено 12 июня 2019 .
- ^ Керриск, Майкл (2010). Программный интерфейс Linux . Сан-Франциско, Калифорния: без крахмала. п. 768 . ISBN 9781593272203.
- ^ "страница разработки firewalld" . Сайт проекта firewalld . Архивировано из оригинала 3 февраля 2016 года . Проверено 9 февраля +2016 .
- ^ "FirewallD" . Вики сообщества Fedora . Проверено 9 февраля +2016 .
- ^ a b "домашняя страница проекта Firewalld" . Сайт проекта firewalld . Проверено 9 февраля +2016 .
- ^ a b Александерсен, Даниэль. «Сравнение и противопоставление несложного Firewall и FirewallD» . Светлое будущее . Проверено 9 февраля +2016 .
- ^ "Файлы конфигурации службы firewalld" . Пространство Томаса Вернера на сайте Fedora People . Проверено 9 февраля +2016 .
- ^ Вернер, Томас. «На пути к Qt» . Блог firewalld . Архивировано из оригинального 16 февраля 2016 года . Проверено 9 февраля +2016 .
- ^ a b https://en.opensuse.org/Firewalld
- ^ "Пакет: firewalld" . Репозиторий пакетов Debian . Проверено 9 февраля +2016 .