Scribd
Importer
118 vues3 pages

Gestion de firewalld sous Debian

Ce document décrit comment configurer et utiliser le pare-feu firewalld sur un système Linux. Il montre les commandes pour vérifier et modifier la configuration de firewalld, comme afficher le statut, les zones, les services pris en charge, ouvrir et fermer des ports, ajouter des règles.

Transféré par

Jozef Louzna
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
118 vues3 pages

Gestion de firewalld sous Debian

Ce document décrit comment configurer et utiliser le pare-feu firewalld sur un système Linux. Il montre les commandes pour vérifier et modifier la configuration de firewalld, comme afficher le statut, les zones, les services pris en charge, ouvrir et fermer des ports, ajouter des règles.

Transféré par

Jozef Louzna
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Verifier la presence de firewalld

#rpm -qa |grep firewalld

Lister les fichiers de configuration du paquetage firewalld

#rpm –qc firewalld

Afficher le fichier de configuration

#vi /etc/firewalld/[Link]

Vérifier le statut de firewalld

#systemctl status firewalld

#firewalld-cmd –state

Afficher la configuration actuelle

#firewalld-cmd –list-all

Afficher les zones availables

#firewalld-cmd –get-zones

Afficher les services prises en charge.

#firewalld-cmd –get-services

#ls /usr/lib/firewalld/services

#cat /usr/lib/firewalld/[Link]

Ouvrir le port mysql

Afficher la zone par defaut

#firewalld-cmd –get-defalt-zone

Changer la zone par défaut : internal

#firewalld-cmd –set-default-zone=internal

Ajouter le port 3306/tcp

#firewalld-cmd –zone=public --add-port=3306/tcp

Lister la config actuelle

#firewalld-cmd –list-all

Supprimer le port 3306/tcp

#firewalld-cmd –zone=public --remove-port=3306/tcp

Ajouter le service mysql

#firewalld-cmd --add-service=mysql

Redémarrer le parefeu

#firewalld-cmd --reload

Lister la config actuelle (Pb la configuration disparait).

#firewalld-cmd --add-service=mysql –permanent


Partie 2

Afficher le statut de httpd

Systemctl stsatus httpd

Ajouter les ports 3306/tcp, 80/tcp et 8080/tcp

#firewalld-cmd --add-port={3306/tcp,80/tcp,8080/tcp}

Ajouter une plage de ports de 5000 à 5010

#firewalld-cmd --add-port=5000-5010

#firewalld-cmd --add-service=(mysql,http,https,ldap)

Redemarrer le parefeu

#firewalld-cmd --reload

Lister les sockets en ecoute

#netstat –ntlp

Ouvrir le port 8080

#firewalld-cmd --add-port=8080/tcp

Vérifier avec netstat (aucun processus lancé)

Ajouter un port de transfert local

#firewalld-cmd --add-forward-port=port=8080 :tcp :toport=80

Ajouter un port de transfert distant

#firewalld-cmd --add-forward-port=port=8080 :tcp :toport=80 :toaddr=[Link]

Accéder à la page d’accueil web

#curl [Link] (pas d’accès, le port n’est pas ouvert)

#firewalld-cmd --remove-forward-port=port =8080:proto:tcp:toport=80

Autoriser / refuser tout le trafic de [Link]

#firewalld-cmd --add-rich-rule=’rule family= "ipv4” source address="[Link]" accept’

#firewalld-cmd --add-rich-rule=’rule family= "ipv4” source address="[Link]" drop’

#firewalld-cmd --list-rich-rules

#cp /usr/lib/firewalld/services/[Link] /etc/firewall/services/

Renommer [Link] à [Link]

#firewalld-cmd --get-services

#firewalld-cmd --add-services=myapp

#firewalld-cmd --reload
n distingue alors les zones prédéfinies suivantes :

• zone drop: le niveau le plus bas de confiance. Toute connexion entrante est supprimée sans notification et
seules les connexions sortantes sont autorisées.
• zone block: zone similaire à celle-ci-dessus, mais au lieu de supprimer les connexions entrantes sans
notification, ces flux sont rejetés à l’aide d’un message icmp-host-prohibited (ou icmp6-adm-prohibited
pour IPv6).
• zone public: représente l’ensemble des réseaux publics ou non sécurisés. On ne fait pas confiance aux
autres ordinateurs ou serveurs mais, on peut traiter les connexions entrantes au cas par cas à l’aide de
règles.
• zone external: représente les réseaux externes lorsque l’on utilise le pare-feu local comme une passerelle.
Dans ce cas, la zone est configurée pour le "masquerading NAT" et les réseaux internes demeurent ainsi
privés mais accessibles.
• zone internal: représente l’autre face de la zone external, utilisée pour la portion interne d’une passerelle.
Les serveurs sont totalement accrédités et certains services supplémentaires peuvent mêmes être
disponibles.
• zone dmz: utilisée pour les serveurs au sein d’une zone démilitarisée ou DMZ. Seules quelques connexions
entrantes sont alors autorisées.
• zone work: utilisées pour des machines de travail permettant de faire confiance à la plupart des serveurs du
réseau. Quelques services supplémentaires pourront être autorisés.
• zone home: une zone de sécurité personnelle. Cela implique la plupart du temps que l’on fait confiance aux
autres machines et que certains autres services peuvent aussi être accrédités.
• zone trusted: permet de faire confiance à toutes les machines du réseau. Il s’agit du niveau de confiance le
plus élevé à utiliser avec précaution.

Vous aimerez peut-être aussi