13.3. Zones
firewalld peut être utilisé pour séparer les réseaux en différentes zones en fonction du niveau de confiance que l'utilisateur a décidé d'accorder aux interfaces et au trafic au sein de ce réseau. Une connexion ne peut faire partie que d'une seule zone, mais une zone peut être utilisée pour plusieurs connexions réseau.
NetworkManager notifie à firewalld la zone d'une interface. Vous pouvez assigner des zones aux interfaces avec :
-
NetworkManager -
firewall-configoutil -
firewall-cmdoutil en ligne de commande - La console web RHEL
Les trois derniers ne peuvent éditer que les fichiers de configuration appropriés de NetworkManager. Si vous changez la zone de l'interface à l'aide de la console web, firewall-cmd ou firewall-config, la demande est transmise à NetworkManager et n'est pas traitée parfirewalld.
Les zones prédéfinies sont stockées dans le répertoire /usr/lib/firewalld/zones/ et peuvent être appliquées instantanément à toute interface réseau disponible. Ces fichiers ne sont copiés dans le répertoire /etc/firewalld/zones/ qu'après avoir été modifiés. Les paramètres par défaut des zones prédéfinies sont les suivants :
block-
Toute connexion réseau entrante est rejetée avec un message icmp-host-prohibited pour
IPv4et icmp6-adm-prohibited pourIPv6. Seules les connexions réseau initiées depuis l'intérieur du système sont possibles. dmz- Pour les ordinateurs de votre zone démilitarisée qui sont accessibles au public avec un accès limité à votre réseau interne. Seules les connexions entrantes sélectionnées sont acceptées.
drop- Tous les paquets réseau entrants sont abandonnés sans notification. Seules les connexions réseau sortantes sont possibles.
external- À utiliser sur les réseaux externes où le masquage est activé, en particulier pour les routeurs. Vous ne faites pas confiance aux autres ordinateurs du réseau pour ne pas nuire à votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
home- À utiliser à la maison lorsque vous faites essentiellement confiance aux autres ordinateurs du réseau. Seules les connexions entrantes sélectionnées sont acceptées.
internal- À utiliser sur les réseaux internes lorsque vous faites essentiellement confiance aux autres ordinateurs du réseau. Seules les connexions entrantes sélectionnées sont acceptées.
public- À utiliser dans les lieux publics où vous ne faites pas confiance aux autres ordinateurs du réseau. Seules les connexions entrantes sélectionnées sont acceptées.
trusted- Toutes les connexions réseau sont acceptées.
work- À utiliser au travail lorsque vous faites essentiellement confiance aux autres ordinateurs du réseau. Seules les connexions entrantes sélectionnées sont acceptées.
L'une de ces zones est définie comme la zone default. Lorsque des connexions d'interface sont ajoutées à NetworkManager, elles sont affectées à la zone par défaut. Lors de l'installation, la zone par défaut dans firewalld est définie comme étant la zone public. La zone par défaut peut être modifiée.
Les noms des zones du réseau doivent être explicites et permettre aux utilisateurs de prendre rapidement une décision raisonnable. Pour éviter tout problème de sécurité, examinez la configuration de la zone par défaut et désactivez tous les services inutiles en fonction de vos besoins et de l'évaluation des risques.
Ressources supplémentaires
-
La page de manuel
firewalld.zone(5).
