E foi lançado o Firewalld 1.3 com novos recursos e melhorias, e muito mais. Confira as novidades desse update e veja como atualizar.
A maioria das distribuições Linux vem com seus próprios serviços de firewall pré-construídos, então o usuário geralmente não precisa intervir nessa parte. Mas as vezes é necessário algum tipo de configuração especial ou para o que mais o usuário desejar.
E é por isso que hoje vamos falar do Firewalld, que é um firewall dinâmico gerenciável, basicamente permite gerenciar o Firewall com suporte a zonas de rede para definir o nível de confiança das redes ou interfaces que você usa para se conectar.
Firewalld é um controlador de front-end para iptables e nftables usado para implementar regras de tráfego de rede persistentes. Além disso, ele possui suporte para configurações de ponte IPv4, IPv6 e ethernet.
O Firewalld é implementado como um wrapper sobre os filtros de pacotes nftables e iptables.
O Firewalld é executado como um processo em segundo plano que permite que as regras de filtragem de pacotes sejam alteradas dinamicamente via D-Bus sem precisar recarregar as regras de filtragem de pacotes e sem desconectar as conexões estabelecidas.
Para gerenciar o firewall, é usado o utilitário firewall-cmd, que, ao criar regras, não se baseia em endereços IP, interfaces de rede e números de porta, mas nos nomes dos serviços, por exemplo, para abrir o acesso ao SSH, para fechar SSH, entre outros.
A interface gráfica firewall-config (GTK) e o applet firewall-applet (Qt) também podem ser usados para alterar as configurações do firewall. O suporte para gerenciamento via firewall D-BUS API está disponível em projetos como NetworkManager, libvirt, podman, docker e fail2ban.
Além disso, o firewalld mantém uma configuração em execução e permanente separadamente. Assim, o firewalld também fornece uma interface para aplicativos adicionarem regras de maneira conveniente.
O modelo anterior (system-config-firewall/lokkit) era estático e cada alteração exigia uma reinicialização forçada. Isso significava ter que descarregar os módulos do kernel (por exemplo: netfilter) e recarregá-los a cada configuração.
Além disso, esse reinício significava perder as informações de status das conexões estabelecidas.
Por outro lado, o firewalld não requer uma reinicialização do serviço para aplicar uma nova configuração. Portanto, não é necessário recarregar os módulos do kernel.
O único inconveniente é que para que tudo isso funcione corretamente, a configuração deve ser feita através do firewalld e suas ferramentas de configuração (firewall-cmd ou firewall-config).
O Firewalld é capaz de adicionar regras usando a mesma sintaxe dos comandos {ip,ip6,eb}tables (regras diretas).
Atualmente, o Firewalld está em sua versão 1.3, que foi lançada recentemente
Novidades do Firewalld 1.3
Sim. O Firewalld 1.3 é a mais recente versão deste controlador de front-end para iptables e nftables, e abaixo estão os destaques desse lançamento:
- Foi implementado um serviço compatível com o aplicativo de compartilhamento de arquivos Warpinator desenvolvido pela distribuição Linux Mint.
- Adicionados os serviços bareos-director, bareos-filedaemon e bareos-storage para dar suporte ao sistema de backup Bareos.
- Uma regra de mascaramento foi implementada para o back-end nftables, que permite vincular interfaces de rede a uma zona que processa o tráfego de entrada. Para o back-end iptables, este recurso não é suportado.
- Adicionado serviço para redes P2P de sobreposição de Nebula.
- Adicionado um serviço para o sistema de exportação de métricas Ceph ao banco de dados Prometheus.
- Adicionado um serviço que suporta o protocolo OMG DDS (Object Management Group Data Distribution Service).
- Um serviço foi adicionado para processar solicitações de clientes para determinar nomes de host usando o protocolo LLMNR (Link-Local Multicast Name Resolution).
- Adicionado um serviço para o protocolo ps2link usado para se comunicar com consoles de jogos PlayStation 2.
- Um serviço foi adicionado para oferecer suporte à operação do servidor para o sistema de sincronização de arquivos Syncthing.
Para saber mais sobre essa versão do Firewalld, acesse a nota de lançamento.
Como instalar ou atualizar
Finalmente para aqueles que estão interessados em poder instalar este Firewall, devem saber que o projeto já está em uso em muitas distribuições Linux, incluindo RHEL 7+, Fedora 18+ e SUSE/openSUSE 15+.
O código firewalld é escrito em Python e é lançado sob a licença GPLv2.
Então, para instalar a versão mais recente do Firewalld nas principais distribuições Linux que usam essa ferramenta, você só precisa manter seu sistema atualizado.