Rechercher

1.3. Contrôle du trafic réseau à l'aide de firewalld

download PDF

Le paquet firewalld installe un grand nombre de fichiers de services prédéfinis et vous pouvez en ajouter d'autres ou les personnaliser. Vous pouvez ensuite utiliser ces définitions de service pour ouvrir ou fermer des ports pour des services sans connaître le protocole et les numéros de port qu'ils utilisent.

1.3.1. Désactivation de tout le trafic en cas d'urgence à l'aide de la CLI

Dans une situation d'urgence, telle qu'une attaque du système, il est possible de désactiver tout le trafic réseau et de couper l'herbe sous le pied de l'attaquant.

Procédure

  1. Pour désactiver immédiatement le trafic réseau, activez le mode panique :

    # firewall-cmd --panic-on
    Important

    L'activation du mode panique interrompt tout le trafic réseau. C'est pourquoi il ne doit être utilisé que si vous avez un accès physique à la machine ou si vous êtes connecté à l'aide d'une console série.

  2. La désactivation du mode panique ramène le pare-feu à ses paramètres permanents. Pour désactiver le mode panique, entrez :

    # firewall-cmd --panic-off

Vérification

  • Pour savoir si le mode panique est activé ou désactivé, utilisez :

    # firewall-cmd --query-panic

1.3.2. Contrôler le trafic avec des services prédéfinis à l'aide de la CLI

La méthode la plus simple pour contrôler le trafic consiste à ajouter un service prédéfini à firewalld. Ce service ouvre tous les ports nécessaires et modifie d'autres paramètres en fonction de service definition file.

Procédure

  1. Vérifiez que le service n'est pas déjà autorisé :

    # firewall-cmd --list-services
    ssh dhcpv6-client
  2. Liste de tous les services prédéfinis :

    # firewall-cmd --get-services
    RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry ...
  3. Ajouter le service aux services autorisés :

    # firewall-cmd --add-service=<service_name>
  4. Les nouveaux paramètres doivent être conservés :

    # firewall-cmd --runtime-to-permanent

1.3.3. Contrôle du trafic avec des services prédéfinis à l'aide de l'interface graphique

Vous pouvez contrôler le trafic réseau avec des services prédéfinis à l'aide d'une interface utilisateur graphique.

Conditions préalables

  • Vous avez installé le paquetage firewall-config

Procédure

  1. Pour activer ou désactiver un service prédéfini ou personnalisé :

    1. Lancez l'outil firewall-config et sélectionnez la zone du réseau dont les services doivent être configurés.
    2. Sélectionnez l'onglet Zones puis l'onglet Services ci-dessous.
    3. Cochez la case pour chaque type de service que vous souhaitez autoriser ou décochez la case pour bloquer un service dans la zone sélectionnée.
  2. Pour modifier un service :

    1. Lancez l'outil firewall-config.
    2. Sélectionnez Permanent dans le menu intitulé Configuration. D'autres icônes et boutons de menu apparaissent au bas de la fenêtre Services.
    3. Sélectionnez le service que vous souhaitez configurer.

Les onglets Ports, Protocols, et Source Port permettent d'ajouter, de modifier et de supprimer les ports, les protocoles et le port source pour le service sélectionné. L'onglet modules permet de configurer les modules d'aide Netfilter. L'onglet Destination permet de limiter le trafic à une adresse de destination et à un protocole Internet particuliers (IPv4 ou IPv6).

Note

Il n'est pas possible de modifier les paramètres de service en mode Runtime.

1.3.4. Ajout de nouveaux services

Les services peuvent être ajoutés et supprimés à l'aide de l'outil graphique firewall-config, firewall-cmd et firewall-offline-cmd. Vous pouvez également modifier les fichiers XML à l'adresse /etc/firewalld/services/. Si un service n'est pas ajouté ou modifié par l'utilisateur, aucun fichier XML correspondant n'est trouvé à l'adresse /etc/firewalld/services/. Les fichiers /usr/lib/firewalld/services/ peuvent être utilisés comme modèles si vous souhaitez ajouter ou modifier un service.

Note

Les noms des services doivent être alphanumériques et ne peuvent comporter que les caractères _ (trait de soulignement) et - (tiret).

Procédure

Pour ajouter un nouveau service dans un terminal, utilisez firewall-cmd, ou firewall-offline-cmd si firewalld n'est pas actif.

  1. Entrez la commande suivante pour ajouter un nouveau service vide :

    $ firewall-cmd --new-service=<service_name> --permanent
  2. Pour ajouter un nouveau service à l'aide d'un fichier local, utilisez la commande suivante :

    $ firewall-cmd --new-service-from-file=<service_xml_file> --permanent

    Vous pouvez modifier le nom du service avec l'option supplémentaire --name=<service_name> supplémentaire.

  3. Dès que les paramètres du service sont modifiés, une copie mise à jour du service est placée sur /etc/firewalld/services/.

    Comme root, vous pouvez entrer la commande suivante pour copier un service manuellement :

    # cp /usr/lib/firewalld/services/service-name.xml /etc/firewalld/services/service-name.xml

firewalld charge les fichiers de /usr/lib/firewalld/services en premier lieu. Si des fichiers sont placés dans /etc/firewalld/services et qu'ils sont valides, ils remplaceront les fichiers correspondants de /usr/lib/firewalld/services. Les fichiers remplacés dans /usr/lib/firewalld/services sont utilisés dès que les fichiers correspondants de /etc/firewalld/services ont été supprimés ou si l'on a demandé à firewalld de charger les valeurs par défaut des services. Ceci ne s'applique qu'à l'environnement permanent. Un rechargement est nécessaire pour obtenir ces fallbacks également dans l'environnement d'exécution.

1.3.5. Ouverture de ports à l'aide de l'interface graphique

Pour autoriser le trafic à travers le pare-feu vers un certain port, vous pouvez ouvrir le port dans l'interface graphique.

Conditions préalables

  • Vous avez installé le paquetage firewall-config

Procédure

  1. Lancez l'outil firewall-config et sélectionnez la zone du réseau dont vous souhaitez modifier les paramètres.
  2. Sélectionnez l'onglet Ports et cliquez sur le bouton Ajouter sur le côté droit. La fenêtre Port and Protocol s'ouvre.
  3. Saisissez le numéro de port ou la plage de ports à autoriser.
  4. Sélectionnez tcp ou udp dans la liste.

1.3.6. Contrôle du trafic avec des protocoles à l'aide de l'interface graphique

Pour autoriser le trafic à travers le pare-feu en utilisant un certain protocole, vous pouvez utiliser l'interface graphique.

Conditions préalables

  • Vous avez installé le paquetage firewall-config

Procédure

  1. Lancez l'outil firewall-config et sélectionnez la zone du réseau dont vous souhaitez modifier les paramètres.
  2. Sélectionnez l'onglet Protocols et cliquez sur le bouton Add à droite. La fenêtre Protocol s'ouvre.
  3. Sélectionnez un protocole dans la liste ou cochez la case Other Protocol et saisissez le protocole dans le champ.

1.3.7. Ouverture des ports source à l'aide de l'interface graphique

Pour autoriser le trafic à travers le pare-feu à partir d'un certain port, vous pouvez utiliser l'interface graphique.

Conditions préalables

  • Vous avez installé le paquetage firewall-config

Procédure

  1. Lancez l'outil firewall-config et sélectionnez la zone réseau dont vous souhaitez modifier les paramètres.
  2. Sélectionnez l'onglet Source Port et cliquez sur le bouton Add à droite. La fenêtre Source Port s'ouvre.
  3. Saisissez le numéro de port ou la plage de ports à autoriser. Sélectionnez tcp ou udp dans la liste.
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.