1.7. Filtrage du trafic transféré entre les zones


Avec un objet de politique, les utilisateurs peuvent regrouper différentes identités qui requièrent des autorisations similaires dans la politique. Vous pouvez appliquer des règles en fonction de la direction du trafic.

La fonction d'objets de stratégie permet le filtrage en amont et en aval dans firewalld. Vous pouvez utiliser firewalld pour filtrer le trafic entre différentes zones afin d'autoriser l'accès aux machines virtuelles hébergées localement à se connecter à l'hôte.

1.7.1. La relation entre les objets de politique et les zones

Les objets de politique permettent à l'utilisateur d'attacher les primitives de firewalld telles que les services, les ports et les règles riches à la politique. Vous pouvez appliquer les objets de politique au trafic qui passe entre les zones de manière unidirectionnelle et avec état.

# firewall-cmd --permanent --new-policy myOutputPolicy

# firewall-cmd --permanent --policy myOutputPolicy --add-ingress-zone HOST

# firewall-cmd --permanent --policy myOutputPolicy --add-egress-zone ANY

HOST et ANY sont les zones symboliques utilisées dans les listes de zones d'entrée et de sortie.

  • La zone symbolique HOST autorise les stratégies pour le trafic provenant de ou ayant une destination vers l'hôte exécutant firewalld.
  • La zone symbolique ANY applique la politique à toutes les zones actuelles et futures. La zone symbolique ANY agit comme un joker pour toutes les zones.

1.7.2. Utiliser les priorités pour trier les politiques

Plusieurs politiques peuvent s'appliquer au même ensemble de trafic, c'est pourquoi les priorités doivent être utilisées pour créer un ordre de préséance pour les politiques qui peuvent être appliquées.

Pour définir une priorité afin de trier les politiques :

# firewall-cmd --permanent --policy mypolicy --set-priority -500

Dans l'exemple ci-dessus, -500 est une valeur moins prioritaire, mais a une priorité plus élevée. Ainsi, -500 sera exécuté avant -100. Les valeurs de priorité supérieure ont la priorité sur les valeurs inférieures.

Les règles suivantes s'appliquent aux priorités politiques :

  • Les politiques avec des priorités négatives s'appliquent avant les règles dans les zones.
  • Les politiques ayant des priorités positives s'appliquent après les règles dans les zones.
  • La priorité 0 est réservée et donc inutilisable.

1.7.3. Utilisation d'objets de stratégie pour filtrer le trafic entre les conteneurs hébergés localement et un réseau physiquement connecté à l'hôte

La fonction d'objets de stratégie permet aux utilisateurs de filtrer le trafic des conteneurs et des machines virtuelles.

Procédure

  1. Créer une nouvelle politique.

    # firewall-cmd --permanent --new-policy podmanToHost
  2. Bloquer tout le trafic.

    # firewall-cmd --permanent --policy podmanToHost --set-target REJECT
    
    # firewall-cmd --permanent --policy podmanToHost --add-service dhcp
    
    # firewall-cmd --permanent --policy podmanToHost --add-service dns
    Note

    Red Hat recommande de bloquer tout le trafic vers l'hôte par défaut, puis d'ouvrir sélectivement les services dont vous avez besoin pour l'hôte.

  3. Définir la zone d'entrée à utiliser avec la politique.

    # firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podman
  4. Définir la zone de sortie à utiliser avec la politique.

    # firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANY

Vérification

  • Vérifier les informations relatives à la police.

    # firewall-cmd --info-policy podmanToHost

1.7.4. Définition de la cible par défaut des objets de politique

Vous pouvez spécifier des options --set-target pour les politiques. Les cibles suivantes sont disponibles :

  • ACCEPT - accepte le paquet
  • DROP - laisse tomber les paquets indésirables
  • REJECT - rejette les paquets non désirés avec une réponse ICMP
  • CONTINUE (par défaut) - les paquets seront soumis aux règles des politiques et zones suivantes.

    # firewall-cmd --permanent --policy mypolicy --set-target CONTINUE

Vérification

  • Vérifier les informations relatives à la police

    # firewall-cmd --info-policy mypolicy
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.