wikinotes

Outils pour utilisateurs

Outils du site

Piste : client-dhcp-dhcpcd calcul-vectoriel-avec-numpy piles-de-protocoles importer-vm-kvm 150_quiz_structurer_son_code fichier_documentation_chm 000_start crosstool relation_agregation importer_donnees_cvs_dans_une_table
netadmin:firewalld-gestion-ensembles-ip

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
netadmin:firewalld-gestion-ensembles-ip [2025/11/07 16:37] – créée yoannnetadmin:firewalld-gestion-ensembles-ip [2025/11/08 10:58] (Version actuelle) yoann
Ligne 2: Ligne 2:
  
  
-====== firewalld : configuration des ensembles IP (ip sets) ======+====== firewalld : Configuration des ensembles IP (IP Sets) ======
  
 :TODO: :TODO:
  
  
 +Un **ipset** est un groupe nommé d'adresses IP (hôtes ou réseaux) ou d'adresses MAC. firewalld pourra utiliser ces ensembles comme sources sur les zones (avec le préfixe ''ipset:'') ou dans les règles enrichies (rich rules) 
 +
 +<code bash>
 +
 +</code>
 +
 +===== Créer un ipset =====
 +
 +La création d'un ipset exige la présence de l'argument ''%%--permanent%%''. Pour qu'il puisse être disponible dans l'environnement d'exécution (runtime environment), il faut recharger le service après la commande de création.
 +  
 +<code bash>
 +# Par défaut l'ensemble contient des adresses IPv4
 +firewall-cmd --permanent --new-ipset=blacklisted-hosts --type=hash:ip
 +
 +# Creation d'un ipset avec des adresses ipv6
 +firewall-cmd --permanent --option=family=inet6 --new-ipset=blacklisted-hosts-v6 --type=hash:ip
 +
 +# MAJ de l'environnement d'exécution
 +firewall-cmd --reload
 +</code>
 +
 +<note>
 +La création de l'ensemble ou la modification de ses propriétés nécessitent l'argument ''%%--permanent%%''. En revanche la mise à jour du contenu de l'ensemble pourra être faite dans l'environnement d'exécution.
 +</note>
 +
 +Lors de la création il est possible de spécifier quelques options comme vu précédemment via l'argument ''%%--option%%''. Les options disponibles sont :
 +
 +  * ''family:'' la valeur peut être ''inet'' ou ''inet6'' ;
 +  * ''timeout:'' suivie d'une valeur entière, TTL en secondes d'un élément de la liste;
 +  * ''hashsize:'' valeur entière ;
 +  * ''maxelem:'' valeur entière, nombre d'éléments max de l'ensemble.
 +
 +
 +<code bash>
 +# Création d'un ipset dont les éléments sont temporaires
 +firewall-cmd --permanent --option=timeout=240 --option=maxelem=64 --new-ipset=temporary-blacklist --type=hash:ip
 +firewall-cmd --permanent --ipset=temporary-blacklist --set-description="Rejette tout trafic des membres de la liste pendant 4 minutes."
 +
 +firewall-cmd --permanent --zone=block --add-source=ipset:temporary-blacklist
 +
 +</code>
 +
 +<code bash>
 +# Lister les ensembles existants
 +firewall-cmd --get-ipsets
 +
 +# Détails de l'ensemble "blacklisted-hosts"
 +firewall-cmd --info-ipset=blacklisted-hosts
 +
 +#Ajouter un élément à l'ensemble
 +firewall-cmd --ipset=blacklisted-hosts --add-entry=192.168.123.10
 +
 +# Affecter l'ensemble comme source de la zone block pour rejeter tout trafic
 +firewall-cmd --zone=drop --add-source=ipset:blacklisted-hosts
 +</code>
  
 ===== Références ===== ===== Références =====
netadmin/firewalld-gestion-ensembles-ip.1762533442.txt.gz · Dernière modification : 2025/11/07 16:37 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki