1.7. Filtrage du trafic transféré entre les zones
Avec un objet de politique, les utilisateurs peuvent regrouper différentes identités qui requièrent des autorisations similaires dans la politique. Vous pouvez appliquer des règles en fonction de la direction du trafic.
La fonction d'objets de stratégie permet le filtrage en amont et en aval dans firewalld. Vous pouvez utiliser firewalld pour filtrer le trafic entre différentes zones afin d'autoriser l'accès aux machines virtuelles hébergées localement à se connecter à l'hôte.
1.7.1. La relation entre les objets de politique et les zones
Les objets de politique permettent à l'utilisateur d'attacher les primitives de firewalld telles que les services, les ports et les règles riches à la politique. Vous pouvez appliquer les objets de politique au trafic qui passe entre les zones de manière unidirectionnelle et avec état.
# firewall-cmd --permanent --new-policy myOutputPolicy # firewall-cmd --permanent --policy myOutputPolicy --add-ingress-zone HOST # firewall-cmd --permanent --policy myOutputPolicy --add-egress-zone ANY
HOST
et ANY
sont les zones symboliques utilisées dans les listes de zones d'entrée et de sortie.
-
La zone symbolique
HOST
autorise les stratégies pour le trafic provenant de ou ayant une destination vers l'hôte exécutant firewalld. -
La zone symbolique
ANY
applique la politique à toutes les zones actuelles et futures. La zone symboliqueANY
agit comme un joker pour toutes les zones.
1.7.2. Utiliser les priorités pour trier les politiques
Plusieurs politiques peuvent s'appliquer au même ensemble de trafic, c'est pourquoi les priorités doivent être utilisées pour créer un ordre de préséance pour les politiques qui peuvent être appliquées.
Pour définir une priorité afin de trier les politiques :
# firewall-cmd --permanent --policy mypolicy --set-priority -500
Dans l'exemple ci-dessus, -500 est une valeur moins prioritaire, mais a une priorité plus élevée. Ainsi, -500 sera exécuté avant -100. Les valeurs de priorité supérieure ont la priorité sur les valeurs inférieures.
Les règles suivantes s'appliquent aux priorités politiques :
- Les politiques avec des priorités négatives s'appliquent avant les règles dans les zones.
- Les politiques ayant des priorités positives s'appliquent après les règles dans les zones.
- La priorité 0 est réservée et donc inutilisable.
1.7.3. Utilisation d'objets de stratégie pour filtrer le trafic entre les conteneurs hébergés localement et un réseau physiquement connecté à l'hôte
La fonction d'objets de stratégie permet aux utilisateurs de filtrer le trafic des conteneurs et des machines virtuelles.
Procédure
Créer une nouvelle politique.
# firewall-cmd --permanent --new-policy podmanToHost
Bloquer tout le trafic.
# firewall-cmd --permanent --policy podmanToHost --set-target REJECT # firewall-cmd --permanent --policy podmanToHost --add-service dhcp # firewall-cmd --permanent --policy podmanToHost --add-service dns
NoteRed Hat recommande de bloquer tout le trafic vers l'hôte par défaut, puis d'ouvrir sélectivement les services dont vous avez besoin pour l'hôte.
Définir la zone d'entrée à utiliser avec la politique.
# firewall-cmd --permanent --policy podmanToHost --add-ingress-zone podman
Définir la zone de sortie à utiliser avec la politique.
# firewall-cmd --permanent --policy podmanToHost --add-egress-zone ANY
Vérification
Vérifier les informations relatives à la police.
# firewall-cmd --info-policy podmanToHost
1.7.4. Définition de la cible par défaut des objets de politique
Vous pouvez spécifier des options --set-target pour les politiques. Les cibles suivantes sont disponibles :
-
ACCEPT
- accepte le paquet -
DROP
- laisse tomber les paquets indésirables -
REJECT
- rejette les paquets non désirés avec une réponse ICMP CONTINUE
(par défaut) - les paquets seront soumis aux règles des politiques et zones suivantes.# firewall-cmd --permanent --policy mypolicy --set-target CONTINUE
Vérification
Vérifier les informations relatives à la police
# firewall-cmd --info-policy mypolicy