1.3. Contrôle du trafic réseau à l'aide de firewalld
Le paquet firewalld
installe un grand nombre de fichiers de services prédéfinis et vous pouvez en ajouter d'autres ou les personnaliser. Vous pouvez ensuite utiliser ces définitions de service pour ouvrir ou fermer des ports pour des services sans connaître le protocole et les numéros de port qu'ils utilisent.
1.3.1. Désactivation de tout le trafic en cas d'urgence à l'aide de la CLI
Dans une situation d'urgence, telle qu'une attaque du système, il est possible de désactiver tout le trafic réseau et de couper l'herbe sous le pied de l'attaquant.
Procédure
Pour désactiver immédiatement le trafic réseau, activez le mode panique :
# firewall-cmd --panic-on
ImportantL'activation du mode panique interrompt tout le trafic réseau. C'est pourquoi il ne doit être utilisé que si vous avez un accès physique à la machine ou si vous êtes connecté à l'aide d'une console série.
La désactivation du mode panique ramène le pare-feu à ses paramètres permanents. Pour désactiver le mode panique, entrez :
# firewall-cmd --panic-off
Vérification
Pour savoir si le mode panique est activé ou désactivé, utilisez :
# firewall-cmd --query-panic
1.3.2. Contrôler le trafic avec des services prédéfinis à l'aide de la CLI
La méthode la plus simple pour contrôler le trafic consiste à ajouter un service prédéfini à firewalld
. Ce service ouvre tous les ports nécessaires et modifie d'autres paramètres en fonction de service definition file.
Procédure
Vérifiez que le service n'est pas déjà autorisé :
# firewall-cmd --list-services ssh dhcpv6-client
Liste de tous les services prédéfinis :
# firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
Ajouter le service aux services autorisés :
# firewall-cmd --add-service=<service_name>
Les nouveaux paramètres doivent être conservés :
# firewall-cmd --runtime-to-permanent
1.3.3. Contrôle du trafic avec des services prédéfinis à l'aide de l'interface graphique
Vous pouvez contrôler le trafic réseau avec des services prédéfinis à l'aide d'une interface utilisateur graphique.
Conditions préalables
-
Vous avez installé le paquetage
firewall-config
Procédure
Pour activer ou désactiver un service prédéfini ou personnalisé :
- Lancez l'outil firewall-config et sélectionnez la zone du réseau dont les services doivent être configurés.
-
Sélectionnez l'onglet
Zones
puis l'ongletServices
ci-dessous. - Cochez la case pour chaque type de service que vous souhaitez autoriser ou décochez la case pour bloquer un service dans la zone sélectionnée.
Pour modifier un service :
- Lancez l'outil firewall-config.
-
Sélectionnez
Permanent
dans le menu intituléConfiguration
. D'autres icônes et boutons de menu apparaissent au bas de la fenêtre . - Sélectionnez le service que vous souhaitez configurer.
Les onglets Ports
, Protocols
, et Source Port
permettent d'ajouter, de modifier et de supprimer les ports, les protocoles et le port source pour le service sélectionné. L'onglet modules permet de configurer les modules d'aide Netfilter. L'onglet Destination
permet de limiter le trafic à une adresse de destination et à un protocole Internet particuliers (IPv4
ou IPv6
).
Il n'est pas possible de modifier les paramètres de service en mode Runtime
.
1.3.4. Ajout de nouveaux services
Les services peuvent être ajoutés et supprimés à l'aide de l'outil graphique firewall-config, firewall-cmd
et firewall-offline-cmd
. Vous pouvez également modifier les fichiers XML à l'adresse /etc/firewalld/services/
. Si un service n'est pas ajouté ou modifié par l'utilisateur, aucun fichier XML correspondant n'est trouvé à l'adresse /etc/firewalld/services/
. Les fichiers /usr/lib/firewalld/services/
peuvent être utilisés comme modèles si vous souhaitez ajouter ou modifier un service.
Les noms des services doivent être alphanumériques et ne peuvent comporter que les caractères _
(trait de soulignement) et -
(tiret).
Procédure
Pour ajouter un nouveau service dans un terminal, utilisez firewall-cmd
, ou firewall-offline-cmd
si firewalld
n'est pas actif.
Entrez la commande suivante pour ajouter un nouveau service vide :
$ firewall-cmd --new-service=<service_name> --permanent
Pour ajouter un nouveau service à l'aide d'un fichier local, utilisez la commande suivante :
$ firewall-cmd --new-service-from-file=<service_xml_file> --permanent
Vous pouvez modifier le nom du service avec l'option supplémentaire
--name=<service_name>
supplémentaire.Dès que les paramètres du service sont modifiés, une copie mise à jour du service est placée sur
/etc/firewalld/services/
.Comme
root
, vous pouvez entrer la commande suivante pour copier un service manuellement :# cp /usr/lib/firewalld/services/service-name.xml /etc/firewalld/services/service-name.xml
firewalld
charge les fichiers de /usr/lib/firewalld/services
en premier lieu. Si des fichiers sont placés dans /etc/firewalld/services
et qu'ils sont valides, ils remplaceront les fichiers correspondants de /usr/lib/firewalld/services
. Les fichiers remplacés dans /usr/lib/firewalld/services
sont utilisés dès que les fichiers correspondants de /etc/firewalld/services
ont été supprimés ou si l'on a demandé à firewalld
de charger les valeurs par défaut des services. Ceci ne s'applique qu'à l'environnement permanent. Un rechargement est nécessaire pour obtenir ces fallbacks également dans l'environnement d'exécution.
1.3.5. Ouverture de ports à l'aide de l'interface graphique
Pour autoriser le trafic à travers le pare-feu vers un certain port, vous pouvez ouvrir le port dans l'interface graphique.
Conditions préalables
-
Vous avez installé le paquetage
firewall-config
Procédure
- Lancez l'outil firewall-config et sélectionnez la zone du réseau dont vous souhaitez modifier les paramètres.
-
Sélectionnez l'onglet
Ports
et cliquez sur le bouton sur le côté droit. La fenêtrePort and Protocol
s'ouvre. - Saisissez le numéro de port ou la plage de ports à autoriser.
-
Sélectionnez
tcp
ouudp
dans la liste.
1.3.6. Contrôle du trafic avec des protocoles à l'aide de l'interface graphique
Pour autoriser le trafic à travers le pare-feu en utilisant un certain protocole, vous pouvez utiliser l'interface graphique.
Conditions préalables
-
Vous avez installé le paquetage
firewall-config
Procédure
- Lancez l'outil firewall-config et sélectionnez la zone du réseau dont vous souhaitez modifier les paramètres.
-
Sélectionnez l'onglet
Protocols
et cliquez sur le boutonAdd
à droite. La fenêtreProtocol
s'ouvre. -
Sélectionnez un protocole dans la liste ou cochez la case
Other Protocol
et saisissez le protocole dans le champ.
1.3.7. Ouverture des ports source à l'aide de l'interface graphique
Pour autoriser le trafic à travers le pare-feu à partir d'un certain port, vous pouvez utiliser l'interface graphique.
Conditions préalables
-
Vous avez installé le paquetage
firewall-config
Procédure
- Lancez l'outil firewall-config et sélectionnez la zone réseau dont vous souhaitez modifier les paramètres.
-
Sélectionnez l'onglet
Source Port
et cliquez sur le boutonAdd
à droite. La fenêtreSource Port
s'ouvre. -
Saisissez le numéro de port ou la plage de ports à autoriser. Sélectionnez
tcp
ouudp
dans la liste.