wikinotes

Outils pour utilisateurs

Outils du site

Piste : 250_is_null client-dhcp-dhcpcd webstore flask_application_factory activer-contraintes-fk-sqlite-avec-flask-sqlachemy variables_environnement 210_clause_where installer_pgadmin relation_many-to-many firewalld
netadmin:firewalld

Ceci est une ancienne révision du document !

Table des matières

, , , , ,

Pare-feu firewalld

:TODO:

Les zones

firewalld s'appuie sur la notion de zones : les interfaces réseau sont associées à des zones. Chaque zone contient un ensembles de règles avec un comportement par défaut.

Les zones pré-existantes :

  • drop : Niveau de confiance minimal, connexions entrantes supprimées sans notification et connexions sortantes autorisées ;
  • block : Niveau de confiance minimal, connexions entrantes rejetées avec notification (icmp-host-prohibited ou icmp6-adm-prohibited) et connexions sortantes autorisées ;
  • public : Niveau de confiance bas, certains services entrants acceptés (ssh par exemple) et on peut en ajouter à la demande à l'aide des règles.
  • external : Zone dans laquelle on place une interface reliée à une réseau externe (WAN par exemple) quand on utilise le serveur comme passerelle. Le MASQUERADE NAT est activé.
  • internal : Autre extrémité de la zone de external quand on utilise le serveur comme passerelle. Cette zone est de bonne confiance, et on peut éditer les services acceptés avec des règles ;
  • dmz : Zone réservée pour les serveurs en DMZ (zone démilitarisée). Quelques connexions entrantes sont autorisées ;
  • work : Bon niveau de confiance. Zone utilisée pour les machines sur réseau d'entreprise. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
  • home : Bon niveau de confiance. Zone utilisée pour une zone personnelle. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
  • trusted : Niveau de confiance élevée. Zone utilisée pour les machines qui se font 100% confiance. A utiliser avec précaution évidemment.
# Lister les zones
firewall-cmd --get-zones
 
# Détail du paramétrage d'une zone
firewall-cmd --info-zone MyZone
 
# Lister les zones et leur paramétrage
firewall-cmd --list-all-zones
 
# Créer une zone
# la zone est crée mais ne contient aucune règle
firewall-cmd --new-zone=MyNewZone --permanent
firewall-cmd --reload

Lorsque qu'on invoque firewall-cmd ses effets s'appliquent par défaut :

  • sur une zone ;
  • de façon transitoire (il faudra utiliser l'option --permanent pour que la règle soit conservée après redémarrage/rechargement du service). 
# Afficher la zone sur laquelle s'applique
# par défaut les actions de la commande
firewalld-cmd --get-default-zone

Pour changer la zone par défaut : 

# Passer la zone 'work' comme zone par défaut
firewall-cmd --set-default-zone=work

Aux zones on peut affecter des interfaces ou des IP/réseaux source : 

firewall-cmd --zone=work --add-interface=eno1 [--permanent]
firewall-cmd --zone=work --add-source=192.168.22.123 [--permanent]
firewall-cmd --zone=work --add-source=192.168.21.0/24 [--permanent]

Les modules complémentaires

Certaines fonctionnalités nécessite l'usage de modules complémentaires notamment :

  • le suivi des connexions ;
  • la gestion des trafics de certains anciens protocoles comme FTP / TFPT

Suivi des connexions

Pour suivre les connexions on utilise le module conntrack 

sudo firewall-cmd --zone=work --add-module=conntrack

Une fois le module activé sur la zone, on peut utiliser la commande --list-connections.

Journalisation des événements

Firewalld peut journaliser les événements de pare-feu pour une analyse ultérieure. Pour activer la journalisation des trafics rejetés, utiliser l' argument --set-log-denied. 

sudo firewall-cmd --set-log-denied=all

NAT/PAT : Port forwarding

On peut transférer le trafic d'un port sur un autre port, ou bien d'un port sur une autre IP et un autre port.

Le forwarding s'utilise entre les zones external et internal.

Syntaxe : 

firewall-cmd --zone=external --add-forward-port=port=:proto=:toaddr=:toport= [--permanent]

Exemple de redirection du trafic HTTP arrivant sur l'interface externe vers la machine 172.21.21.10 

firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=172.21.21.10:toport=80 --permanent

Règles enrichies

Pour des besoins plus spécifiques, il est possible de créer des règles avancées désignées règles enrichies (rich rules) comprenant beaucoup plus d'options de paramétrage comme la journalisation, le masquage, la redirection de port et la limitation de débit.

:TODO_DOCUPDATE:

Pour lister les règles enrichies existantes sur une zone : 

sudo firewall-cmd --zone=public --list-rich-rules

Sauvegarder la configuration

Pour sauvegarder, importer ou exporter la configuration du pare-feu il suffit de copier le répertoire /etc/firewalld.

La configuration est réparties dans plusieurs fichiers et sous-répertoires notamment :

  • firewalld.conf : Fichier de configuration principal ;
  • Les dossiers zones, helpers, icmptypes, ipsets et services.

Références

netadmin/firewalld.1762175880.txt.gz · Dernière modification : 2025/11/03 13:18 de yoann

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki