Rechercher

1.6. Utilisation de zones pour gérer le trafic entrant en fonction d'une source

download PDF

Vous pouvez utiliser des zones pour gérer le trafic entrant en fonction de sa source. Cela vous permet de trier le trafic entrant et de le faire passer par différentes zones afin d'autoriser ou d'interdire les services qui peuvent être atteints par ce trafic.

Si vous ajoutez une source à une zone, celle-ci devient active et tout le trafic entrant provenant de cette source sera dirigé vers elle. Vous pouvez spécifier des paramètres différents pour chaque zone, qui seront appliqués au trafic provenant des sources données. Vous pouvez utiliser plusieurs zones même si vous n'avez qu'une seule interface réseau.

1.6.1. Ajout d'une source

Pour acheminer le trafic entrant vers une zone spécifique, ajoutez la source à cette zone. La source peut être une adresse IP ou un masque IP dans la notation CIDR (classless inter-domain routing).

Note

Si vous ajoutez plusieurs zones dont la portée du réseau se chevauche, elles sont classées par ordre alphanumérique selon le nom de la zone et seule la première est prise en compte.

  • Pour définir la source dans la zone actuelle :

    # firewall-cmd --add-source=<source>
  • Pour définir l'adresse IP source d'une zone spécifique :

    # firewall-cmd --zone=zone-name --add-source=<source>

La procédure suivante autorise tout le trafic entrant de 192.168.2.15 dans la zone trusted:

Procédure

  1. Liste de toutes les zones disponibles :

    # firewall-cmd --get-zones
  2. Ajouter l'IP source à la zone de confiance en mode permanent :

    # firewall-cmd --zone=trusted --add-source=192.168.2.15
  3. Les nouveaux paramètres doivent être conservés :

    # firewall-cmd --runtime-to-permanent

1.6.2. Suppression d'une source

La suppression d'une source de la zone coupe le trafic provenant de cette source.

Procédure

  1. Liste des sources autorisées pour la zone requise :

    # firewall-cmd --zone=zone-name --list-sources
  2. Supprimer définitivement la source de la zone :

    # firewall-cmd --zone=zone-name --remove-source=<source>
  3. Les nouveaux paramètres doivent être conservés :

    # firewall-cmd --runtime-to-permanent

1.6.3. Ajout d'un port source

Pour trier le trafic en fonction du port d'origine, spécifiez un port source à l'aide de l'option --add-source-port. Vous pouvez également combiner cette option avec l'option --add-source pour limiter le trafic à une certaine adresse IP ou à une certaine plage d'adresses IP.

Procédure

  • Pour ajouter un port source :

    # firewall-cmd --zone=zone-name --add-source-port=<port-name>/<tcp|udp|sctp|dccp>

1.6.4. Suppression d'un port source

En supprimant un port source, vous désactivez le tri du trafic en fonction du port d'origine.

Procédure

  • Pour supprimer un port source :

    # firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>

1.6.5. Utiliser les zones et les sources pour autoriser un service uniquement pour un domaine spécifique

Pour autoriser le trafic provenant d'un réseau spécifique à utiliser un service sur une machine, utilisez les zones et la source. La procédure suivante autorise uniquement le trafic HTTP en provenance du réseau 192.0.2.0/24, tandis que tout autre trafic est bloqué.

Avertissement

Lorsque vous configurez ce scénario, utilisez une zone dont la cible est default. L'utilisation d'une zone dont la cible est ACCEPT présente un risque pour la sécurité, car pour le trafic provenant de 192.0.2.0/24, toutes les connexions réseau seraient acceptées.

Procédure

  1. Liste de toutes les zones disponibles :

    # firewall-cmd --get-zones
    block dmz drop external home internal public trusted work
  2. Ajoutez la plage d'adresses IP à la zone internal pour acheminer le trafic provenant de la source à travers la zone :

    # firewall-cmd --zone=internal --add-source=192.0.2.0/24
  3. Ajouter le service http à la zone internal:

    # firewall-cmd --zone=internal --add-service=http
  4. Les nouveaux paramètres doivent être conservés :

    # firewall-cmd --runtime-to-permanent

Vérification

  • Vérifiez que la zone internal est active et que le service y est autorisé :

    # firewall-cmd --zone=internal --list-all
    internal (active)
      target: default
      icmp-block-inversion: no
      interfaces:
      sources: 192.0.2.0/24
      services: cockpit dhcpv6-client mdns samba-client ssh http
      ...

Ressources supplémentaires

  • firewalld.zones(5) page de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.