Recherche de site Web

Règles 'FirewallD' utiles pour configurer et gérer le pare-feu sous Linux


Firewalld fournit un moyen de configurer des règles de pare-feu dynamiques sous Linux qui peuvent être appliquées instantanément, sans avoir besoin de redémarrer le pare-feu et prend également en charge les concepts D-BUS et de zone, ce qui facilite la configuration.

Firewalld a remplacé l'ancien mécanisme de pare-feu de Fedora (Fedora 18 et versions ultérieures), RHEL/CentOS 7 et d'autres distributions récentes s'appuient sur ce nouveau mécanisme. L'une des principales raisons de l'introduction d'un nouveau système de pare-feu est que l'ancien pare-feu doit être redémarré après chaque modification, rompant ainsi toutes les connexions actives. Comme indiqué ci-dessus, le dernier pare-feu prend en charge les zones dynamiques, ce qui est utile pour configurer différents ensembles de zones et de règles pour votre bureau ou votre réseau domestique via une ligne de commande ou en utilisant une méthode GUI.

Au départ, le concept de pare-feu semble très difficile à configurer, mais les services et les zones facilitent la tâche en gardant les deux ensemble, comme expliqué dans cet article.

Dans notre article précédent, où nous avons vu comment jouer avec pare-feu et ses zones, maintenant ici, dans cet article, nous verrons quelques règles de pare-feu utiles pour configurer vos systèmes Linux actuels à l'aide de la ligne de commande.

  1. Configuration du pare-feu dans RHEL/CentOS 7

Tous les exemples abordés dans cet article sont testés pratiquement sur la distribution CentOS 7 et fonctionnent également sur les distributions RHEL et Fedora.

Avant d'implémenter les règles pare-feu, assurez-vous d'abord de vérifier si le service pare-feu est activé et en cours d'exécution.

systemctl status firewalld

L'image ci-dessus montre que firewalld est actif et en cours d'exécution. Il est maintenant temps de vérifier toutes les zones actives et tous les services actifs.

firewall-cmd --get-active-zones
firewall-cmd --get-services

Si vous n'êtes pas familier avec la ligne de commande, vous pouvez également gérer firewalld à partir de l'interface graphique, pour cela, vous devez avoir installé le package GUI sur le système, sinon installez-le à l'aide de la commande suivante.

yum install firewalld firewall-config

Comme indiqué ci-dessus, cet article est spécialement écrit pour les amateurs de ligne de commande et tous les exemples que nous allons aborder sont basés uniquement sur la ligne de commande, sans interface graphique..désolé…..

Avant d'aller plus loin, assurez-vous d'abord de confirmer sur quelle zone publique vous allez configurer le pare-feu Linux et de répertorier tous les services actifs, ports et règles riches pour la zone publique à l'aide de la commande suivante.

firewall-cmd --zone=public --list-all

Dans l'image ci-dessus, aucune règle active n'a encore été ajoutée, voyons comment ajouter, supprimer et modifier des règles dans la partie restante de cet article….

1. Ajout et suppression de ports dans Firewalld

Pour ouvrir n'importe quel port pour la zone publique, utilisez la commande suivante. Par exemple, la commande suivante ouvrira le port 80 pour la zone publique.

firewall-cmd --permanent --zone=public --add-port=80/tcp

De même, pour supprimer le port ajouté, utilisez simplement l'option « –remove » avec la commande firewalld comme indiqué ci-dessous.

firewall-cmd --zone=public --remove-port=80/tcp

Après avoir ajouté ou supprimé des ports spécifiques, assurez-vous de confirmer si le port est ajouté ou supprimé à l'aide de l'option « –list-ports ».

firewall-cmd --zone=public --list-ports

2. Ajout et suppression de services dans Firewalld

Par défaut, firewalld est livré avec des services prédéfinis, si vous souhaitez ajouter une liste de services spécifiques, vous devez créer un nouveau fichier XML avec tous les services inclus dans le fichier ou bien vous pouvez également définir ou supprimer chaque service manuellement en exécutant ce qui suit commandes.

Par exemple, les commandes suivantes vous aideront à ajouter ou supprimer des services spécifiques, comme nous l'avons fait pour FTP ici dans cet exemple.

firewall-cmd --zone=public --add-service=ftp
firewall-cmd --zone=public --remove-service=ftp
firewall-cmd --zone=public --list-services

3. Bloquer les paquets entrants et sortants (mode panique)

Si vous souhaitez bloquer toute connexion entrante ou sortante, vous devez utiliser un mode « panique » pour bloquer ces demandes. Par exemple, la règle suivante supprimera toute connexion établie existante sur le système.

firewall-cmd --panic-on

Après avoir activé le mode panique, essayez d'envoyer une requête ping à n'importe quel domaine (par exemple google.com) et vérifiez si le mode panique est ON à l'aide de « –query-panic . ' comme indiqué ci-dessous.

ping google.com -c 1
firewall-cmd --query-panic

Voyez-vous dans l'image ci-dessus, la requête de panique indique "Hôte inconnu google.com". Essayez maintenant de désactiver le mode panique, puis pingez à nouveau et vérifiez.

firewall-cmd --query-panic
firewall-cmd --panic-off
ping google.com -c 1

Cette fois, il y aura une demande ping de google.com.