Este artículo puede resultar demasiado técnico para la mayoría de los lectores . ( Enero de 2019 ) |
Desarrollador(es) | Eric Garver, Thomas Woerner, Red Hat, Inc. |
---|---|
Lanzamiento inicial | 3 de enero de 2011 ( 03-01-2011 ) | [1]
Versión estable | 2.2.3 [2] / 17 de octubre de 2024 ( 17 de octubre de 2024 ) |
Repositorio | github.com/firewalld/firewalld.git |
Escrito en | Pitón |
Sistema operativo | Linux |
Plataforma | Filtro de red |
Licencia | Licencia Pública General GNU 2 |
Sitio web | www.firewalld.org |
firewalld es una herramienta de administración de firewall para sistemas operativos Linux . Proporciona funciones de firewall al actuar como interfaz para el marco netfilter del kernel de Linux. El backend predeterminado actual de firewalld es nftables . Antes de la versión v0.6.0, iptables era el backend predeterminado. [3] A través de sus abstracciones, firewalld actúa como una alternativa a los programas de línea de comandos nft e iptables. El nombre firewalld se adhiere a la convención Unix de nombrar demonios del sistema al agregar la letra "d". [4]
firewalld está escrito en Python . Se pretendía adaptarlo a C++ , pero el proyecto se abandonó en enero de 2015. [5]
firewalld admite redes IPv4 e IPv6 y puede administrar zonas de firewall independientes con distintos grados de confianza, tal como se define en los perfiles de zona . Los administradores pueden configurar Network Manager para cambiar automáticamente los perfiles de zona en función de las redes Wi-Fi (inalámbricas) y Ethernet (cableadas) conocidas, pero firewalld no puede hacerlo por sí solo. [6]
Los servicios y las aplicaciones pueden utilizar la interfaz D-Bus para consultar y configurar el firewall. [7] firewalld admite reglas temporizadas, lo que significa que la cantidad de conexiones (o "accesos") a un servicio se puede limitar globalmente. No hay soporte para el conteo de accesos y el posterior rechazo de conexiones por IP de origen; una técnica común implementada para limitar el impacto de ataques de fuerza bruta y ataques distribuidos de denegación de servicio . [8]
La sintaxis de comandos de firewalld es similar pero más detallada que la de otros front-ends de iptables como Uncomplicated Firewall (ufw) de Ubuntu . [8] La interfaz de línea de comandos permite administrar conjuntos de reglas de firewall para protocolo, puertos, origen y destino; o servicios predefinidos por nombre.
Los servicios se definen como archivos XML que contienen asignaciones de puertos y protocolos y, opcionalmente, información adicional como la especificación de subredes y la lista de módulos auxiliares de kernel necesarios. [9] La sintaxis se parece a la de los archivos de servicio de systemd . Un archivo de servicio simple para un servidor web que escucha en el puerto TCP 443 podría verse así:
<?xml version="1.0" encoding="utf-8"?> <service> <short> Servidor web </short> <description> Servidor web público a través de HTTPS. </description> <port port= "443" protocol= "tcp" /> </service>
La versión 0.9.0 de Firewalld agregó compatibilidad nativa para reenvío de salida y reenvío de datos a través de objetos de política. [10] Esto permite filtrar el tráfico que fluye entre zonas. Las políticas admiten la mayoría de los primitivos de Firewalld disponibles para las zonas: servicios, puertos, puertos de reenvío, enmascaramiento, reglas enriquecidas, etc.
De forma predeterminada, Firewalld no bloquea el tráfico saliente, como lo exigen los estándares NIST 800-171 y 800-53 . Sin embargo, se puede agregar un bloqueo saliente con una política.
firewall-config es una interfaz gráfica que se incluye opcionalmente con firewalld, con soporte para la mayoría de sus funciones.
firewall-applet es una pequeña utilidad indicadora de estado que se incluye opcionalmente con firewalld. Puede proporcionar notificaciones de registro de eventos del firewall, así como una forma rápida de abrir firewall-config. firewall-applet fue trasladado de GTK+ al framework Qt en el verano de 2015, tras la desuso de los iconos de la bandeja del sistema en el escritorio GNOME . [11]
firewalld se entrega de forma predeterminada en las siguientes distribuciones de Linux: [7]
firewalld está habilitado de forma predeterminada en todas estas distribuciones. firewalld también está disponible como una de las muchas opciones de firewall en el repositorio de paquetes de muchas otras distribuciones populares como Debian [13] o Ubuntu.