Rechercher

1.11. Paramétrage et contrôle des ensembles IP à l'aide de firewalld

download PDF

Pour voir la liste des types d'ensembles IP pris en charge par firewalld, entrez la commande suivante en tant que root.

# firewall-cmd --get-ipset-types
hash:ip hash:ip,mark hash:ip,port hash:ip,port,ip hash:ip,port,net hash:mac hash:net hash:net,iface hash:net,net hash:net,port hash:net,port,net
Avertissement

Red Hat ne recommande pas l'utilisation de jeux d'adresses IP qui ne sont pas gérés par le biais de firewalld. Pour utiliser de tels ensembles d'adresses IP, une règle directe permanente est nécessaire pour référencer l'ensemble, et un service personnalisé doit être ajouté pour créer ces ensembles d'adresses IP. Ce service doit être lancé avant que firewalld ne démarre, sinon firewalld ne pourra pas ajouter les règles directes utilisant ces jeux. Vous pouvez ajouter des règles directes permanentes à l'aide du fichier /etc/firewalld/direct.xml.

1.11.1. Configuration des options du jeu IP à l'aide de la CLI

Les ensembles d'adresses IP peuvent être utilisés dans les zones firewalld en tant que sources et également en tant que sources dans des règles riches. Dans Red Hat Enterprise Linux, la méthode préférée consiste à utiliser les ensembles d'adresses IP créés avec firewalld dans une règle directe.

  • Pour dresser la liste des jeux d'adresses IP connus de firewalld dans l'environnement permanent, utilisez la commande suivante en tant que root:

    # firewall-cmd --permanent --get-ipsets
  • Pour ajouter un nouveau jeu d'adresses IP, utilisez la commande suivante en utilisant l'environnement permanent comme root:

    # firewall-cmd --permanent --new-ipset=test --type=hash:net
    success

    La commande précédente crée un nouveau jeu d'adresses IP avec le nom test et le type hash:net pour IPv4. Pour créer un jeu d'adresses IP à utiliser avec IPv6, ajoutez l'option --option=family=inet6. Pour que le nouveau paramètre prenne effet dans l'environnement d'exécution, rechargez firewalld.

  • Dressez la liste du nouveau jeu d'adresses IP à l'aide de la commande suivante : root:

    # firewall-cmd --permanent --get-ipsets
    test
  • Pour obtenir plus d'informations sur le jeu d'adresses IP, utilisez la commande suivante à l'adresse root:

    # firewall-cmd --permanent --info-ipset=test
    test
    type: hash:net
    options:
    entries:

    Notez que le jeu d'adresses IP n'a pas d'entrées pour le moment.

  • Pour ajouter une entrée à l'ensemble IP test, utilisez la commande suivante en tant que root:

    # firewall-cmd --permanent --ipset=test --add-entry=192.168.0.1
    success

    La commande précédente ajoute l'adresse IP 192.168.0.1 au jeu d'adresses IP.

  • Pour obtenir la liste des entrées actuelles du jeu d'adresses IP, utilisez la commande suivante à l'adresse root:

    # firewall-cmd --permanent --ipset=test --get-entries
    192.168.0.1
  • Créez le fichier iplist.txt qui contient une liste d'adresses IP, par exemple :

    192.168.0.2
    192.168.0.3
    192.168.1.0/24
    192.168.2.254

    Le fichier contenant la liste des adresses IP d'un ensemble d'adresses IP doit contenir une entrée par ligne. Les lignes commençant par un dièse, un point-virgule ou des lignes vides sont ignorées.

  • Pour ajouter les adresses du fichier iplist.txt, utilisez la commande suivante en tant que root:

    # firewall-cmd --permanent --ipset=test --add-entries-from-file=iplist.txt
    success
  • Pour afficher la liste des entrées étendues de l'ensemble IP, utilisez la commande suivante à l'adresse root:

    # firewall-cmd --permanent --ipset=test --get-entries
    192.168.0.1
    192.168.0.2
    192.168.0.3
    192.168.1.0/24
    192.168.2.254
  • Pour supprimer les adresses de l'ensemble IP et vérifier la liste des entrées mises à jour, utilisez les commandes suivantes comme root:

    # firewall-cmd --permanent --ipset=pass:_test_ --remove-entries-from-file=iplist.txt
    success
    # firewall-cmd --permanent --ipset=test --get-entries
    192.168.0.1
  • Vous pouvez ajouter le jeu d'adresses IP en tant que source à une zone pour traiter tout le trafic provenant de n'importe quelle adresse répertoriée dans le jeu d'adresses IP avec une zone. Par exemple, pour ajouter le jeu d'adresses IP test en tant que source à la zone drop afin de supprimer tous les paquets provenant de toutes les entrées répertoriées dans le jeu d'adresses IP test, utilisez la commande suivante en tant que root:

    # firewall-cmd --permanent --zone=drop --add-source=ipset:test
    success

    Le préfixe ipset: dans la source indique firewalld que la source est un ensemble IP et non une adresse IP ou une plage d'adresses.

Seules la création et la suppression de jeux d'adresses IP sont limitées à l'environnement permanent. Toutes les autres options de jeux d'adresses IP peuvent également être utilisées dans l'environnement d'exécution sans l'option --permanent.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.