Certaines fonctionnalités nécessite l'usage de modules complémentaires notamment :

• le suivi des connexions ;
• la gestion des trafics de certains anciens protocoles comme FTP / TFPT

Pour suivre les connexions on utilise le module conntrack

sudo firewall-cmd --zone=work --add-module=conntrack

Une fois le module activé sur la zone, on peut utiliser la commande --list-connections.

Firewalld peut journaliser les événements de pare-feu pour une analyse ultérieure. Pour activer la journalisation des trafics rejetés, utiliser l' argument --set-log-denied.

sudo firewall-cmd --set-log-denied=all

On peut transférer le trafic d'un port sur un autre port, ou bien d'un port sur une autre IP et un autre port.

Le forwarding s'utilise entre les zones external et internal.

Syntaxe :

firewall-cmd --zone=external --add-forward-port=port=:proto=:toaddr=:toport= [--permanent]

Exemple de redirection du trafic HTTP arrivant sur l'interface externe vers la machine 172.21.21.10

firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=172.21.21.10:toport=80 --permanent

Pour des besoins plus spécifiques, il est possible de créer des règles avancées désignées règles enrichies (rich rules) comprenant beaucoup plus d'options de paramétrage comme la journalisation, le masquage, la redirection de port et la limitation de débit.

Pour lister les règles enrichies existantes sur une zone :

sudo firewall-cmd --zone=public --list-rich-rules

Pour sauvegarder, importer ou exporter la configuration du pare-feu il suffit de copier le répertoire /etc/firewalld.

La configuration est réparties dans plusieurs fichiers et sous-répertoires notamment :

• firewalld.conf : Fichier de configuration principal ;
• Les dossiers zones, helpers, icmptypes, ipsets et services.

• https://firewalld.org/
• https://fr.linux-console.net/?p=34402
• https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
• https://linuxhandbook.com/firewalld-cmd/
• https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/