wikinotes

Outils pour utilisateurs

Outils du site

Piste : ssh buffers 240_between notes integrer-documentation-sphinx-dans-application-flask 110_instruction_select 000_start 230_clause_fetch 210_clause_where 250_is_null
netadmin:firewalld

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
netadmin:firewalld [2025/10/11 10:29] yoannnetadmin:firewalld [2025/11/10 19:01] (Version actuelle) yoann
Ligne 6: Ligne 6:
 :TODO: :TODO:
  
 +===== Les zones =====
 +
 +firewalld s'appuie sur la notion de zones : les interfaces réseau sont associées à des zones. Chaque zone contient un ensembles de règles avec un comportement par défaut.
 +
 +Les zones pré-existantes :
 +
 +  * **drop** : Niveau de confiance minimal, connexions entrantes supprimées sans notification et connexions sortantes autorisées ;
 +  * **block** : Niveau de confiance minimal, connexions entrantes rejetées avec notification (''icmp-host-prohibited'' ou ''icmp6-adm-prohibited'') et connexions sortantes autorisées ;
 +  * **public** : Niveau de confiance bas, certains services entrants acceptés (ssh par exemple) et on peut en ajouter à la demande à l'aide des règles.
 +  * **external** : Zone dans laquelle on place une interface reliée à une réseau externe (WAN par exemple) quand on utilise le serveur comme passerelle. Le ''MASQUERADE NAT'' est activé.
 +  * **internal** : Autre extrémité de la zone de **external** quand on utilise le serveur comme passerelle. Cette zone est de bonne confiance, et on peut éditer les services acceptés avec des règles ;
 +  * **dmz** : Zone réservée pour les serveurs en ''DMZ'' (zone démilitarisée). Quelques connexions entrantes sont autorisées ;
 +  * **work** : Bon niveau de confiance. Zone utilisée pour les machines sur réseau d'entreprise. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
 +  * **home** : Bon niveau de confiance. Zone utilisée pour une zone personnelle. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
 +  * **trusted** : Niveau de confiance élevée. Zone utilisée pour les machines qui se font 100% confiance. A utiliser avec précaution évidemment.
 +
 +<code bash>
 +# Lister les zones
 +firewall-cmd --get-zones
 +
 +# Détail du paramétrage d'une zone
 +firewall-cmd --info-zone MyZone
 +
 +# Lister les zones et leur paramétrage
 +firewall-cmd --list-all-zones
 +
 +# Créer une zone
 +# la zone est crée mais ne contient aucune règle
 +firewall-cmd --new-zone=MyNewZone --permanent
 +firewall-cmd --reload
 +</code>
 +
 +Lorsque qu'on invoque ''firewall-cmd'' ses effets s'appliquent par défaut :
 +  * sur une zone ;
 +  * de façon transitoire (il faudra utiliser l'option ''%%--permanent%%'' pour que la règle soit conservée après redémarrage/rechargement du service). 
 +
 +<code bash>
 +# Afficher la zone sur laquelle s'applique
 +# par défaut les actions de la commande
 +firewalld-cmd --get-default-zone
 +</code> 
 +
 +Pour changer la zone par défaut :
 +
 +<code bash>
 +# Passer la zone 'work' comme zone par défaut
 +firewall-cmd --set-default-zone=work
 +</code>
 +
 +Aux zones on peut affecter des interfaces ou des IP/réseaux source :
 +
 +<code bash>
 +firewall-cmd --zone=work --add-interface=eno1 [--permanent]
 +firewall-cmd --zone=work --add-source=192.168.22.123 [--permanent]
 +firewall-cmd --zone=work --add-source=192.168.21.0/24 [--permanent]
 +</code>
  
 ===== Les modules complémentaires ===== ===== Les modules complémentaires =====
Ligne 63: Ligne 119:
 sudo firewall-cmd --zone=public --list-rich-rules sudo firewall-cmd --zone=public --list-rich-rules
 </code> </code>
 +
 +Une règle enrichie peut contenir une plage de ports consécutifs mais pas d'ensemble anonyme nft. Pour plusieurs ports non consécutifs on créera plusieurs règles.
  
  
Ligne 76: Ligne 134:
 ===== Références ===== ===== Références =====
  
 +  * https://firewalld.org/
   * https://fr.linux-console.net/?p=34402   * https://fr.linux-console.net/?p=34402
   * https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux   * https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
   * https://linuxhandbook.com/firewalld-cmd/   * https://linuxhandbook.com/firewalld-cmd/
   * https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/   * https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/
 +  * [[https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/7/html/security_guide/configuring_complex_firewall_rules_with_the_rich-language_syntax|Syntaxe des règles enrichies de firewalld (redhat.com) (en)]]
netadmin/firewalld.1760178573.txt.gz · Dernière modification : 2025/10/11 10:29 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki