Différences

Ci-dessous, les différences entre deux révisions de la page.

--- netadmin:firewalld-activer-masquerading [2025/11/05 19:17] – créée yoann
+++ netadmin:firewalld-activer-masquerading [2025/11/07 16:20] (Version actuelle) – yoann
@@ Ligne 8: / Ligne 8: @@
 La machine sert alors de passerelle avec la spécificité du masquerading : c'est l'IP de l'interface associée à la zone ''external'' qui est utilisée. Les interfaces et réseaux associés à la zone ''internal'' ne sont pas visibles de l'extérieur tout le trafic est.
-Par défaut le masquerading est actif pour la zone external
+Par défaut le masquerading est actif sur la zone external, on peut s'en assurer via la commande **''%%firewall-cmd --info-zone=external%%''** qui retourne :
+<file txt [highlight_lines_extra="9,10"] >
+external (active)
+  target: default
+  icmp-block-inversion: no
+  interfaces: nat0
+  sources:
+  services: ssh
+  ports:
+  protocols:
+  forward: yes
+  masquerade: yes
+  forward-ports:
+  source-ports:
+  icmp-blocks:
+  rich rules:
+</file>
+On associe une interface à la zone ''external'' et au moins une seconde interface à la zone ''internal''
 <code bash>
+firewall-cmd --permanent --zone=external --add-interface=nat0
+firewall-cmd --permanent --zone=internal --add-interface=lan0
+</code>
+A ce stade, si on teste le forwarding/IP masquerading depuis un hôte de la zone ''internal'' on obtient une erreur du type **No route to host** :
+<code bash>
+# client debian 192.168.123.10 essaie de contacter wiki.phobos-net.fr sur le port HTTPS
+nc wiki.phobos-net.fr 443
+phobos.tetaneutral.net [91.224.149.240] 443 (https) : No route to host
 </code>
+Les journaux système tracent un rejet du trafic de la forme :
+<file>
+nov. 05 20:51:26 tethys kernel: filter_FWD_internal_REJECT: IN=lan0 OUT=nat0 MAC=52:54:00:12:2f:ae:52:54:00:24:35:d7:08:00 SRC=192.168.123.10 DST=91.224.149.240 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=56871 DF PROTO=TCP SPT=56252 DPT=443 WINDOW=64240 RES=0x00 SYN URGP=0
+</file>
+Ce comportement est normal, il faut explicitement autoriser le trafic en provenance la zone internal à destination de la zone external via une politique de filtrage (policy)
+Dans sa forme la plus permissive on a :
+<code bash>
+# Création d'une nouvelle politique (18 caractères max)
+firewall-cmd --permanent --new-policy forward_pol
+firewall-cmd --permanent --policy=forward_pol --set-description="Masquerading de tout le trafic en provenance de la zone internal"
+firewall-cmd --permanent --policy=forward_pol --add-ingress-zone=internal
+firewall-cmd --permanent --policy=forward_pol --add-egress-zone=external
+firewall-cmd --permanent --policy=forward_pol --set-target=ACCEPT
+firewall-cmd --reload
+</code>
@@ Ligne 17: / Ligne 68: @@
   * [[https://github.com/firewalld/firewalld/issues/1015|Filtrage et rejet du trafic entre les zones internal et external (github.com) (en)]]
+  * [[https://firewalld.org/2025/10/policy-set-gateway|Définir une passerelle de routage en 4 commandes (firewalld.com) (en)]]

wikinotes

Outils pour utilisateurs

Outils du site

Différences

Outils de la page