Кто такой firewalld

 

На смену привычному iptables постепенно приходит новый межсетевой экран firewalld. Он по прежнему работает с инструментами ядра netfilter, но предоставляет больее широкие возможности по управлению правилами фильтрации. Ниже представлена общее описание  описание Firewalld.

Firewalld предоставляет функционал динамически управляемого брандмауэра с поддержкой сетевых зон, являющихся предустановленным набором правил (уровнями доверия, как теперь говорят) для сетевого соединения или интерфейса. Он может настраивать межсетевой экран IPv4, IPv6 и сетевые мосты, а также разделяет среду выполнения и параметры конфигурации. Firewalld имеет интерфейс для добавления правил брандмауэра непосредственно из служб и приложений.

Динамическое управление означает что мы можем применять изменения конфигурации брандмауэра без перезагрузки всего межсетевого экрана. Но использование Firewalld подразумевает, что все изменения в конфигурации межсетевого экрана выполняются именно демоном, для обеспечения соответствия в состояниях демона и брандмауэра. Правила брандмауэра, добавленные программами ip*tables и ebtables Firewalld обрабатывать не может, поэтому совместное использование этих программ крайне нежелательно.

FirewallD использует шину D-BUS для доступа к информации об активных в текущее время параметрах межсетевого экрана, также используя D-BUS можно добавлять изменения (применять и отменять параметры брандмауэра и осуществлять иные запросы), используя метод аутентификации PolicyKit.


Зоны:

Сетевая зона определяет уровень доверия интерфейса, используемого для сетевого соединения. Существует несколько предопределённых зон, обеспечиваемых FirewallD:

  • drop – как и следовало ожидать входящие сетевые пакеты сбрасываются, без ответа, допускаются только исходящие соединения
  • block – входящие сетевые соединения отклоняются с сообщением icmp-host-prohibited для Ipv4 и icmp6-adm-prohibited для IPv6, допускаются только сетевые соединения инициированные внутри нашей системы.
  • public – для использования в сети с не доверенными компьютерами (в парке наверное, вы ведь часто выводите свои сервера в парк на прогулку), разрешается устанавливать только конкретные входящие соединения.
  • external – для использования во внешних сетях с разрешенным маскарадингом, особенно для роутеров, разрешается устанавливать только конкретные входящие соединения
  • dmz – для компьютеров собственной демилитаризованной зоне с ограниченным доступом к вашей внутренней сети, разрешается устанавливать только конкретные входящие соединения.
  • work/home/internal – Для всех трёх зон в описании примерно та же вода, плюс: максимальное доверие к компьютерам, уверенность в том, что они не причинят вреда нашему компьютеру, разрешается устанавливать только конкретные входящие соединения
  • trusted – Специальная зона для тёщи, все сетевые соединения разрешены.

Службы

Служба может быть списком локальных портов и направлений, кроме того, перечнем вспомогательных модулей межсетевого экрана, загружаемых автоматически, если служба включена. Использование предопределённых служб позволяет пользователю легче разрешать и запрещать доступ к службе.


Прямой интерфейс:

Прямой интерфейс используется, главным образом, службами или приложениями для назначения специфических правил межсетевого экрана. Правила не являются постоянными и должны применяться после получения сообщения о запуске, перезапуске или перезагрузке от FirewallD посредством D-BUS.


Срок жизни конфигурации:

  • Конфигурация времени выполнения является временной и сохраняется только до перезагрузки. После перезапуска, останова службы или перезагрузки системы эти параметры будут потеряны.
  • Постоянная конфигурация хранится в соответствующих файлах и восстанавливается каждый раз при загрузке машины, перезагрузке службы или перезапуске.

Апплет в системном трее:

Апплет в системном трее firewall-applet визуализирует для пользователя состояние межсетевого экрана, а также проблемы с брандмауэром. Так же из него можно запустить программу firewall-config.

Средства конфигурирования:

  • Графическая утилита firewall-config является главным средством конфигурирования демона межсетевого экрана. Она поддерживает весь функционал брандмауэра помимо прямого интерфейса, который обрабатывается службами/приложениями, назначающими правила.
  • Консольная утилита firewall-cmd обеспечивает большую часть функционала графического средства по настройке.

Файлы конфигурации:

  • Конфигурация по умолчанию находится в /usr/lib/firewalld Данная директория содержит конфигурацию которую можно использовать для отката к настройкам «по умолчанию». Её содержимое не стоит менять, оно изменяется при бновлении пакета FirewallD.
  • Системная или пользовательская конфигурация находится в /etc/firewalld, создаётся посредством конфигурационного интерфейса FirewallD, а также "вручную". Эта конфигурация имеет больший приоритет чем конфигурация «по умолчанию».

Для того чтобы "вручную" изменить установки предопределённых типов ICMP, зон или служб, необходимо скопировать файлы из директории конфигурации по умолчанию в соответствующий каталог в системной конфигурационной директории и соответственно их изменить.

Существуют неизменяемые зоны (например drop), конфигурацию которых очевидно нельзя изменить. Если производится возврат к параметрам по умолчанию для зоны, имеющей файлы параметров по умолчанию / для отката, то файл в директории /etc/firewalld будет переименован в .old и произойдёт откат.

Более пригодное для практического применения описание можно найти тут.

 

Комментарии  

#1 uzver 18.08.2016 22:21
Системная или пользовательская конфигурация находится в /уес/firewalld.

не переключились с русского?
Цитировать
#2 Евгений 24.08.2016 06:34
угу... опечатка. А вообще этот пост для количества, там дальше по ссылкам есть более содержательное описание и перевод "мана" :)
Цитировать