firewalld, um excelente utilitário que protege e bloqueia o tráfego de rede
Alguns dias atrás foi anunciado o lançamento da nova versão do firewalld 2.0, que é uma versão principal que além de marcar a mudança de ramo, o lançamento se deve à correção de problemas de polÃtica, além de melhorias de suporte e muito mais.
Para aqueles que não conhecem o Firewalld, devem saber que é implementado como um wrapper sobre os filtros de pacotes nftables e iptables. O Firewalld é executado como um processo em segundo plano que permite que as regras de filtragem de pacotes sejam alteradas dinamicamente pelo D-Bus sem recarregar as regras de filtragem de pacotes e sem desconectar as conexões estabelecidas.
Para gerenciar o firewall, é usado o utilitário firewall-cmd, que, ao criar regras, não se baseia em endereços IP, interfaces de rede e números de porta, mas nos nomes dos serviços, por exemplo, para abrir o acesso ao SSH, para fechar SSH, entre outros.
A interface gráfica firewall-config (GTK) e o applet firewall-applet (Qt) também pode ser usado para alterar as configurações do firewall. O suporte para gerenciamento via firewall D-BUS API está disponÃvel em projetos como NetworkManager, libvirt, podman, docker e fail2ban.
Além disso, firewalld mantém uma configuração em execução e permanente separadamente. Assim, o firewalld também fornece uma interface para aplicativos adicionarem regras de maneira conveniente.
Principais novos recursos do firewalld 2.0
Como mencionado no inÃcio, este lançamento se destaca por introdução de alterações de polÃtica que violam a compatibilidade com versões anteriores e eliminam o problema com as regras de processamento que prescrevem o processamento de pacotes recebidos apenas em relação a uma zona em uma situação em que os intervalos de endereços se sobrepõem a outras zonas (se os intervalos de endereços nas zonas se sobrepõem, o pacote pode cair em várias zonas , ignorando as regras especificadas).
Outra mudança que se destaca nesta nova versão do firewalld 2.0 é a adicionado suporte para nftables, que permite que você use o mecanismo de seleção do caminho de encaminhamento de pacotes da tabela de fluxo, o que pode melhorar significativamente o desempenho do encaminhamento de tráfego.
Também podemos encontrar isso adicionada configuração NftablesCounters para usar contadores de pacotes nftables. O Firewalld com NftablesFlowtable ativado aumentou o desempenho do iperf com encaminhamento de rede em aproximadamente 59%.
Além disso, também podemos descobrir que suporte adicionado para definir diferentes prioridades para zonas, que permite ao usuário controlar a ordem em que os pacotes entram nas zonas.
Por outro lado, vale ressaltar que no Firewalld 2.0 o serviço de cliente TFTP foi removido, que basicamente não funcionou como o esperado, pois foi incorporado para permitir a alimentação acessar os servidores. Que "nunca realmente funcionou" quando adicionado a uma zona.
Das outras mudanças que se destacam nesta nova versão:
- Serviços adicionados para suportar Zabbix Java Gateway e Zabbix Web Service.
- Adicionados serviços compatÃveis com Minecraft, 0AD, ano 1602, ano 1800, Civilization IV, Civilization V, factorio, Need For Speed: Most Wanted, Stellaris, Stronghold Crusader, Super Tux kart, Terraria, Zero K e Settlers.
- Serviço agregado para OpenTelemetry (OTLP).
- Além disso, as polÃticas ignoraram algumas regras de longa data sobre a área.
– As fontes são sempre enviadas antes das interfaces
– As fontes são classificadas por nome de zona
Se estiver interessado em saber mais sobre esta nova versão, pode consultar os detalhes no link a seguir
Obter firewalld
Finalmente para aqueles que interessado em poder instalar este Firewall, você deve saber que o projeto já está em uso em muitas distribuições Linux, incluindo RHEL 7+, Fedora 18+ e SUSE/openSUSE 15+. O código firewalld é escrito em Python e é liberado sob a licença GPLv2.
Você pode obter o código-fonte para sua compilação no link abaixo.