lundi 16 février 2015

Firewalld : la théorie

Firewalld utilise les outils iptables pour communiquer avec Netfilter qui implémente le filtrage des paquets dans les distributions redhat/centos.

Une caractéristique de firewalld


Avec iptables, à chaque prise en compte de nouvelles règles, les sessions en cours étaient coupées. Dans le cas de firewalld, l’application de nouvelles règles ne coupent pas les sessions.

Outil pour configurer firewalld


Deux outils pour configurer firewalld:
  • Outil graphique: firewall-config
  • Outil en ligne de commande : firewalld-cmd


Configuration de firewalld


Il y a deux types de configuration : la configuration courante (runtime) et la configuration permanente (permanent). La configuration permanente est enregistrée dans les fichiers de configuration. Elle est utilisée au démarrage de la machine et au démarrage du service firewalld.
En cas de redémarrage du service ou de la machine, la configuration non permanente (runtime) est donc perdue.

Fichier de configuration


Les répertoires de configurations sont: /usr/lib/firewalld et /etc/firewalld.

Notion de zone


Firewalld utilise des zones pour gérer la sécurité. Chaque interface d’une machine fait partie d’une zone. Il est possible de mettre plusieurs interfaces au sein d’une même zone.
Pour simplifier la mise en production, des zones ont été prédéfinies: drop, block, public, external, dmz, work, home, internal, trusted.

Zone par défaut


La zone par défaut est la zone publique (public). Il est possible de changer la zone par défaut.

Notion de service


Des services sont également prédéfinies. Un service est l’association d’un protocole et d’un port. Par exemple, le service http et l’association du protocole tcp et du port 80.

La liste des services pré-définies est ici: /usr/lib/firewalld/services.

Il est possible d’ajouter des services en se basant sur les modèles proposés.

Configuration en ligne de commande


En fonction des règles souhaitées, différents options sont à notre disposition.

firewalld propose par exemple de passer des règles directement à iptables via une interface directe (direct interface). L’utilisation de cette option nécessite une bonne connaissance d’iptables pour ne pas ajouter de faille au pare-feu.

Enfin, il est possible de configurer firewalld directement dans les fichiers de configuration.

-
Libellés : ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)

Comment ajouter une route statique sur une distribution Linux Ubuntu

Pour ajouter une route statique au démarrage d'Ubuntu, voici le fichier à modifier. Dans l'exemple on ajoute une route pour joindre ...