firewalld s'appuie sur la notion de zones : les interfaces réseau sont associées à des zones. Chaque zone contient un ensembles de règles avec un comportement par défaut.

Les zones pré-existantes :

• drop : Niveau de confiance minimal, connexions entrantes supprimées sans notification et connexions sortantes autorisées ;
• block : Niveau de confiance minimal, connexions entrantes rejetées avec notification (icmp-host-prohibited ou icmp6-adm-prohibited) et connexions sortantes autorisées ;
• public : Niveau de confiance bas, certains services entrants acceptés (ssh par exemple) et on peut en ajouter à la demande à l'aide des règles.
• external : Zone dans laquelle on place une interface reliée à une réseau externe (WAN par exemple) quand on utilise le serveur comme passerelle. Le MASQUERADE NAT est activé.
• internal : Autre extrémité de la zone de external quand on utilise le serveur comme passerelle. Cette zone est de bonne confiance, et on peut éditer les services acceptés avec des règles ;
• dmz : Zone réservée pour les serveurs en DMZ (zone démilitarisée). Quelques connexions entrantes sont autorisées ;
• work : Bon niveau de confiance. Zone utilisée pour les machines sur réseau d'entreprise. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
• home : Bon niveau de confiance. Zone utilisée pour une zone personnelle. La plupart des connexions entrantes sont autorisées, et on peut éditer les services acceptés avec des règles ;
• trusted : Niveau de confiance élevée. Zone utilisée pour les machines qui se font 100% confiance. A utiliser avec précaution évidemment.

# Lister les zones
firewall-cmd --get-zones
 
# Détail du paramétrage d'une zone
firewall-cmd --info-zone MyZone
 
# Lister les zones et leur paramétrage
firewall-cmd --list-all-zones
 
# Créer une zone
# la zone est crée mais ne contient aucune règle
firewall-cmd --new-zone=MyNewZone --permanent
firewall-cmd --reload

Lorsque qu'on invoque firewall-cmd ses effets s'appliquent par défaut :

• sur une zone ;
• de façon transitoire (il faudra utiliser l'option --permanent pour que la règle soit conservée après redémarrage/rechargement du service).

# Afficher la zone sur laquelle s'applique
# par défaut les actions de la commande
firewalld-cmd --get-default-zone

Pour changer la zone par défaut :

# Passer la zone 'work' comme zone par défaut
firewall-cmd --set-default-zone=work

Aux zones on peut affecter des interfaces ou des IP/réseaux source :

firewall-cmd --zone=work --add-interface=eno1 [--permanent]
firewall-cmd --zone=work --add-source=192.168.22.123 [--permanent]
firewall-cmd --zone=work --add-source=192.168.21.0/24 [--permanent]

Certaines fonctionnalités nécessite l'usage de modules complémentaires notamment :

• le suivi des connexions ;
• la gestion des trafics de certains anciens protocoles comme FTP / TFPT

Pour suivre les connexions on utilise le module conntrack

sudo firewall-cmd --zone=work --add-module=conntrack

Une fois le module activé sur la zone, on peut utiliser la commande --list-connections.

Firewalld peut journaliser les événements de pare-feu pour une analyse ultérieure. Pour activer la journalisation des trafics rejetés, utiliser l' argument --set-log-denied.

sudo firewall-cmd --set-log-denied=all

On peut transférer le trafic d'un port sur un autre port, ou bien d'un port sur une autre IP et un autre port.

Le forwarding s'utilise entre les zones external et internal.

Syntaxe :

firewall-cmd --zone=external --add-forward-port=port=:proto=:toaddr=:toport= [--permanent]

Exemple de redirection du trafic HTTP arrivant sur l'interface externe vers la machine 172.21.21.10

firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=172.21.21.10:toport=80 --permanent

Pour des besoins plus spécifiques, il est possible de créer des règles avancées désignées règles enrichies (rich rules) comprenant beaucoup plus d'options de paramétrage comme la journalisation, le masquage, la redirection de port et la limitation de débit.

Pour lister les règles enrichies existantes sur une zone :

sudo firewall-cmd --zone=public --list-rich-rules

Une règle enrichie peut contenir une plage de ports consécutifs mais pas d'ensemble anonyme nft. Pour plusieurs ports non consécutifs on créera plusieurs règles.

Pour sauvegarder, importer ou exporter la configuration du pare-feu il suffit de copier le répertoire /etc/firewalld.

La configuration est réparties dans plusieurs fichiers et sous-répertoires notamment :

• firewalld.conf : Fichier de configuration principal ;
• Les dossiers zones, helpers, icmptypes, ipsets et services.

• https://firewalld.org/
• https://fr.linux-console.net/?p=34402
• https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
• https://linuxhandbook.com/firewalld-cmd/
• https://blog.stephane-robert.info/docs/securiser/reseaux/firewalld/
• Syntaxe des règles enrichies de firewalld (redhat.com) (en)