firewalld : Gestion dynamique du service de pare-feu

Aperçu

firewalld est un démon qui contrôle le trafic réseau d'un système. Grâce à des zones prédéfinies, il permet d'appliquer différents niveaux de sécurité en fonction des interfaces réseau ou des adresses IP sources. Il offre une interface conviviale par rapport à la manipulation directe des règles iptables complexes.

Caractéristiques principales

Gestion dynamique des règles : Modification des règles sans redémarrage du service
Basé sur les zones : Application de politiques de sécurité différentes selon les interfaces réseau ou les sources
Gestion des services et des ports : Facilité d'ouverture/blocage de services spécifiques (SSH, HTTP, etc.) ou de ports
Règles enrichies (Rich Rules) : Possibilité de définir des règles basées sur des conditions complexes
Support IPv4 et IPv6

Options principales

Options utilisées lors de l'exécution du démon firewalld lui-même. La plupart des gestions de règles de pare-feu s'effectuent via la commande firewall-cmd.

Options de démarrage du démon

Commande générée :

Essayez de combiner les commandes.

Description:

`firewalld` Exécute la commande.

Essayez d'exécuter virtuellement les commandes avec l'IA en combinant les options ci-dessus.

Exemples d'utilisation

Le service firewalld est principalement géré via la commande systemctl. La configuration des règles de pare-feu utilise la commande firewall-cmd.

Démarrage du service firewalld

sudo systemctl start firewalld

Démarre le démon firewalld.

Activation du service firewalld (démarrage automatique au boot)

sudo systemctl enable firewalld

Configure firewalld pour qu'il démarre automatiquement au démarrage du système.

Vérification de l'état du service firewalld

sudo systemctl status firewalld

Vérifie l'état actuel du service firewalld.

Redémarrage du service firewalld

sudo systemctl restart firewalld

Redémarre le service firewalld.

Rechargement de la configuration firewalld (après modification des règles)

sudo firewall-cmd --reload

Recharge et applique les règles de pare-feu sans arrêter le service.

Installation

firewalld est inclus par défaut dans de nombreuses distributions Linux basées sur Red Hat, telles que CentOS, Fedora et RHEL. Il peut être nécessaire de l'installer manuellement sur les distributions basées sur Debian/Ubuntu.

CentOS/Fedora/RHEL

sudo dnf install firewalld

Installe firewalld en utilisant dnf (ou yum).

Debian/Ubuntu

sudo apt install firewalld

Installe firewalld en utilisant apt.

Conseils et précautions

Conseils et précautions pour une utilisation efficace de firewalld.

Utilisation de firewall-cmd

Toute la configuration et la gestion des règles de pare-feu de firewalld s'effectuent via la commande 'firewall-cmd'. Par exemple, l'ouverture de ports, l'ajout de services, la configuration des zones nécessitent l'utilisation de firewall-cmd.

Vérifier les zones actives : `firewall-cmd --get-active-zones`
Ouvrir un port spécifique (ex: HTTP 80/tcp) : `sudo firewall-cmd --zone=public --add-port=80/tcp --permanent`
Appliquer les changements : `sudo firewall-cmd --reload`

Application des règles permanentes

Lorsque vous ajoutez des règles avec firewall-cmd, vous devez utiliser l'option `--permanent` pour que les règles soient conservées après le redémarrage du système. Après avoir utilisé l'option `--permanent`, vous devez impérativement exécuter `firewall-cmd --reload` pour appliquer les changements.

Comprendre les zones par défaut

firewalld utilise par défaut la zone 'public', mais il propose diverses zones telles que 'home', 'work', 'internal', 'external', 'trusted', 'drop', 'block'. Chaque zone a un niveau de sécurité différent.

Relation avec iptables

firewalld utilise iptables (ou nftables) en interne, mais il offre une interface plus abstraite que l'utilisation directe de la commande iptables. Sur les systèmes utilisant firewalld, il est conseillé d'éviter de manipuler directement la commande iptables.