1.6. Utilisation de zones pour gérer le trafic entrant en fonction d'une source
Vous pouvez utiliser des zones pour gérer le trafic entrant en fonction de sa source. Cela vous permet de trier le trafic entrant et de le faire passer par différentes zones afin d'autoriser ou d'interdire les services qui peuvent être atteints par ce trafic.
Si vous ajoutez une source à une zone, celle-ci devient active et tout le trafic entrant provenant de cette source sera dirigé vers elle. Vous pouvez spécifier des paramètres différents pour chaque zone, qui seront appliqués au trafic provenant des sources données. Vous pouvez utiliser plusieurs zones même si vous n'avez qu'une seule interface réseau.
1.6.1. Ajout d'une source
Pour acheminer le trafic entrant vers une zone spécifique, ajoutez la source à cette zone. La source peut être une adresse IP ou un masque IP dans la notation CIDR (classless inter-domain routing).
Si vous ajoutez plusieurs zones dont la portée du réseau se chevauche, elles sont classées par ordre alphanumérique selon le nom de la zone et seule la première est prise en compte.
Pour définir la source dans la zone actuelle :
# firewall-cmd --add-source=<source>
Pour définir l'adresse IP source d'une zone spécifique :
# firewall-cmd --zone=zone-name --add-source=<source>
La procédure suivante autorise tout le trafic entrant de 192.168.2.15 dans la zone trusted
:
Procédure
Liste de toutes les zones disponibles :
# firewall-cmd --get-zones
Ajouter l'IP source à la zone de confiance en mode permanent :
# firewall-cmd --zone=trusted --add-source=192.168.2.15
Les nouveaux paramètres doivent être conservés :
# firewall-cmd --runtime-to-permanent
1.6.2. Suppression d'une source
La suppression d'une source de la zone coupe le trafic provenant de cette source.
Procédure
Liste des sources autorisées pour la zone requise :
# firewall-cmd --zone=zone-name --list-sources
Supprimer définitivement la source de la zone :
# firewall-cmd --zone=zone-name --remove-source=<source>
Les nouveaux paramètres doivent être conservés :
# firewall-cmd --runtime-to-permanent
1.6.3. Ajout d'un port source
Pour trier le trafic en fonction du port d'origine, spécifiez un port source à l'aide de l'option --add-source-port
. Vous pouvez également combiner cette option avec l'option --add-source
pour limiter le trafic à une certaine adresse IP ou à une certaine plage d'adresses IP.
Procédure
Pour ajouter un port source :
# firewall-cmd --zone=zone-name --add-source-port=<port-name>/<tcp|udp|sctp|dccp>
1.6.4. Suppression d'un port source
En supprimant un port source, vous désactivez le tri du trafic en fonction du port d'origine.
Procédure
Pour supprimer un port source :
# firewall-cmd --zone=zone-name --remove-source-port=<port-name>/<tcp|udp|sctp|dccp>
1.6.5. Utiliser les zones et les sources pour autoriser un service uniquement pour un domaine spécifique
Pour autoriser le trafic provenant d'un réseau spécifique à utiliser un service sur une machine, utilisez les zones et la source. La procédure suivante autorise uniquement le trafic HTTP en provenance du réseau 192.0.2.0/24
, tandis que tout autre trafic est bloqué.
Lorsque vous configurez ce scénario, utilisez une zone dont la cible est default
. L'utilisation d'une zone dont la cible est ACCEPT
présente un risque pour la sécurité, car pour le trafic provenant de 192.0.2.0/24
, toutes les connexions réseau seraient acceptées.
Procédure
Liste de toutes les zones disponibles :
# firewall-cmd --get-zones block dmz drop external home internal public trusted work
Ajoutez la plage d'adresses IP à la zone
internal
pour acheminer le trafic provenant de la source à travers la zone :# firewall-cmd --zone=internal --add-source=192.0.2.0/24
Ajouter le service
http
à la zoneinternal
:# firewall-cmd --zone=internal --add-service=http
Les nouveaux paramètres doivent être conservés :
# firewall-cmd --runtime-to-permanent
Vérification
Vérifiez que la zone
internal
est active et que le service y est autorisé :# firewall-cmd --zone=internal --list-all internal (active) target: default icmp-block-inversion: no interfaces: sources: 192.0.2.0/24 services: cockpit dhcpv6-client mdns samba-client ssh http ...
Ressources supplémentaires
-
firewalld.zones(5)
page de manuel