Certaines fonctionnalités nécessite l'usage de modules complémentaires notamment :

• le suivi des connexions ;
• la gestion des trafics de certains anciens protocoles comme FTP / TFPT

Pour suivre les connexions on utilise le module conntrack

sudo firewall-cmd --zone=work --add-module=conntrack

Une fois le module activé sur la zone, on peut utiliser la commande --list-connections.

Firewalld peut journaliser les événements de pare-feu pour une analyse ultérieure. Pour activer la journalisation des trafics rejetés, utiliser l' argument --set-log-denied.

sudo firewall-cmd --set-log-denied=all

Pour des besoins plus spécifiques, il est possible de créer des règles avancées désignées règles enrichies (rich rules) comprenant beaucoup plus d'options de paramétrage comme la journalisation, le masquage, la redirection de port et la limitation de débit.

Pour lister les règles enrichies existantes sur une zone :

sudo firewall-cmd --zone=public --list-rich-rules

Pour sauvegarder, importer ou exporter la configuration du pare-feu il suffit de copier le répertoire /etc/firewalld.

La configuration est réparties dans plusieurs fichiers et sous-répertoires notamment :

• firewalld.conf : Fichier de configuration principal ;
• Les dossiers zones, helpers, icmptypes, ipsets et services.

• https://fr.linux-console.net/?p=34402
• https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
• https://linuxhandbook.com/firewalld-cmd/
• https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/