Utilisation de FirewallD pour gérer votre pare-feu sur CentOS 7

• Gérer les services
• Gestion portuaire
• Activation de FirewallD
• Conclusion

FirewallD est un pare-feu géré dynamiquement qui prend en charge les règles de pare-feu IPv4 et IPv6 et les zones de pare-feu disponibles sur les serveurs RHEL 7. C'est un remplacement direct iptableset fonctionne avec le netfiltercode du noyau .

Dans cet article, nous examinerons brièvement la gestion du pare-feu sur CentOS 7 à l'aide de la firewall-cmdcommande.

Vérifier si FirewallD est en cours d'exécution

La première étape consiste à vérifier si FirewallD est installé et fonctionne. Cela peut être fait via systemden exécutant ce qui suit:

$ systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2016-03-10 15:07:00 UTC; 1min 30s ago
   ...

Alternativement, vous pouvez vérifier en utilisant l' firewall-cmdoutil:

$ firewall-cmd --state
running

Gérer les zones

FirewallD fonctionne en utilisant le concept de l' zonesendroit où une zone a défini le niveau de confiance utilisé pour une connexion. Vous pouvez diviser différentes interfaces réseau en différentes zones afin d'appliquer des règles de pare-feu spécifiques par interface ou vous pouvez utiliser une zone pour toutes les interfaces.

Hors de la boîte, tout est fait sur la publiczone par défaut , mais il existe plusieurs autres zones préconfigurées qui peuvent également être appliquées.

Liste de toutes les zones disponibles

Vous devrez peut-être obtenir une liste de toutes les zones disponibles, dont plusieurs sont prêtes à l'emploi. Encore une fois, cela peut être fait en utilisant firewall-cmd:

$ firewall-cmd --get-zones
block dmz drop external home internal public trusted work

Vérification de la zone par défaut

Vous pouvez découvrir la zone par défaut actuellement configurée à l'aide de firewall-cmd:

$ firewall-cmd --get-default-zone
public

Si vous souhaitez modifier la zone par défaut (par exemple, en home), cela peut être fait en exécutant:

$ firewall-cmd --set-default-zone=home
success

Ces informations seront répercutées dans le fichier de configuration principale, /etc/firewalld/firewalld.conf. Cependant, il est recommandé de ne pas modifier manuellement ce fichier et de l'utiliser à la place firewall-cmd.

Vérification des zones actuellement attribuées

Vous pouvez obtenir une liste des zones auxquelles vous avez assigné des interfaces en exécutant:

$ firewall-cmd --get-active-zones
public
  interfaces: eth0

Vous pouvez également vérifier la zone d'une seule interface ( eth0dans ce cas) en exécutant:

$  firewall-cmd --get-zone-of-interface=eth0
public

Création de zones

Si les zones préconfigurées par défaut ne répondent pas tout à fait à vos besoins, le moyen le plus simple de créer une nouvelle zone ( zone1) est à nouveau via firewall-cmd:

$ firewall-cmd --permanent --new-zone=zone1
success

Après la création, vous devez recharger:

$ firewall-cmd --reload
success

Application d'une zone à une interface

Afin d' affecter de manière permanente une interface réseau à une zone, vous pouvez utiliser, firewall-cmdmais n'oubliez pas d'inclure l' --permanentindicateur pour conserver la modification. Si vous utilisez NetworkManager, vous devez également être sûr d'utiliser nmclipour définir la zone de connexion.

$ firewall-cmd --permanent --zone=internal --change-interface=eth1`
success

Obtenir la configuration permanente d'une zone

Afin de vérifier la configuration permanente d'une zone ( publicdans ce cas), y compris les interfaces attribuées, les services autorisés, les paramètres de port et plus encore, exécutez:

$ firewall-cmd --permanent --zone=public --list-all
public (default)
  interfaces:
  sources:
  services: dhcpv6-client ssh
  ports:
  masquerade: no
  forward-ports:
  icmp-blocks:
  rich rules:

Gérer les services

Une fois que vous avez attribué et configuré les zones requises, vous pouvez commencer à ajouter des services aux zones. Les services décrivent les protocoles et les ports accessibles pour une zone.

Liste des services existants

Un certain nombre de services communs sont préconfigurés dans firewalld. Ceux-ci peuvent être répertoriés:

$ firewall-cmd --get-services
RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns freeipa-ldap freeipa-ldaps freeipa-replication ftp high-availability http https imaps ipp ipp-client ipsec iscsi-target kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind rsyncd samba samba-client smtp ssh telnet tftp tftp-client transmission-client vdsm vnc-server wbem-https

Vous pouvez également obtenir une liste des services activés pour la zone par défaut:

$ firewall-cmd --list-services
dhcpv6-client ssh

Ajout d'un service à une zone

Vous pouvez activer un service donné pour une zone ( public) en permanence à l'aide du --add-servicedrapeau:

$ firewall-cmd --permanent --zone=public --add-service=http
success

Et puis rechargez la session de pare-feu actuelle:

$ firewall-cmd --reload
success

Ensuite, pour vérifier qu'il a été ajouté:

$ firewall-cmd --zone=public --list-services
dhcpv6-client http ssh

Supprimer un service d'une zone

Vous pouvez supprimer publicdéfinitivement un service donné pour une zone ( ) à l'aide du --remove-servicedrapeau:

$ firewall-cmd --permanent --zone=public --remove-service=http
success

Et puis rechargez la session de pare-feu actuelle:

$ firewall-cmd --reload
success

Ensuite, pour vérifier qu'il a été ajouté:

$ firewall-cmd --zone=public --list-services
dhcpv6-client ssh

Ajouter / supprimer plusieurs services d'une zone

Vous pouvez ajouter ou supprimer plusieurs services (par exemple, httpet https) d'une zone soit un à la fois, soit tous à la fois en enveloppant les noms de service souhaités entre accolades ( {, }):

$ firewall-cmd --permanent --zone=public --add-service=
success

$ firewall-cmd --permanent --zone=public --list-services
dhcpv6-client http https ssh

Créer de nouveaux services

Parfois, vous devrez peut-être ajouter de nouveaux services personnalisés, par exemple si vous avez modifié le port du démon SSH. Les services sont définis à l'aide de fichiers XML triviaux, les fichiers par défaut se trouvant dans /usr/lib/firewalld/services:

$  tree /usr/lib/firewalld/services
/usr/lib/firewalld/services
├── amanda-client.xml
├── bacula-client.xml
├── bacula.xml
├── dhcpv6-client.xml
├── dhcpv6.xml
├── dhcp.xml
├── dns.xml
├── freeipa-ldaps.xml
├── freeipa-ldap.xml
├── freeipa-replication.xml
├── ftp.xml
├── high-availability.xml
├── https.xml
├── http.xml
...

La façon la plus simple de créer un nouveau service consiste à copier l'un de ces fichiers de service existants et à le modifier. Les services personnalisés doivent résider /etc/firewalld/services. Par exemple, pour personnaliser le service SSH:

$ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ssh-custom.xml

Le contenu de ce fichier copié devrait ressembler à:

$ cat /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="22"/>
</service>

Afin de changer le port, vous devez changer le nom court du service et le port. Vous pouvez également modifier la description si vous le souhaitez, mais ce ne sont que des métadonnées supplémentaires qui pourraient être utilisées par une interface utilisateur ou une autre application. Dans cet exemple, je change le port en 1234:

$ nano /etc/firewalld/services/ssh-custom.xml
<?xml version="1.0" encoding="utf-8"?>
<service>
  <short>SSH-Custom</short>
  <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description>
  <port protocol="tcp" port="1234"/>
</service>

Une fois enregistré, vous devrez recharger le pare-feu et ensuite vous pourrez appliquer votre règle à votre zone:

$ firewall-cmd --reload
success

$ firewall-cmd --permanent --zone=public --add-service=ssh-custom
success

Gestion portuaire

En plus d'utiliser les services, vous pouvez également autoriser manuellement les ports par protocole. Pour autoriser le port TCP 7777pour la publiczone:

$ firewall-cmd --permanent --zone=public --add-port=7777/tcp
success

Vous pouvez également ajouter une plage de ports:

$ firewall-cmd --permanent --zone=public --add-port=7000-8000/tcp
success

Pour supprimer (et ainsi refuser) le port TCP 7777de la publiczone:

$ firewall-cmd --permanent --zone=public --remove-port=7777/tcp
success

Vous pouvez également répertorier les ports actuellement autorisés pour une zone donnée ( public) après avoir rechargé la session de pare-feu en cours:

$ firewall-cmd --zone=public --list-ports
7000-8000/tcp

Activation de FirewallD

Une fois que vous avez configuré le pare-feu à votre convenance, assurez-vous de l'activer via systemd afin de vous assurer qu'il démarre au démarrage:

$ systemctl enable firewalld

Conclusion

Il existe de nombreux autres paramètres et options dans FirewallD, tels que la redirection de port, le masquage et la communication avec le pare-feu via D-Bus. J'espère que ce guide vous a aidé à comprendre les bases cependant et vous a donné les outils pour démarrer avec le pare-feu sur votre serveur. Quelques lectures supplémentaires ci-dessous vous aideront à tirer le meilleur parti de votre pare-feu.

• Utilisation de Fail2ban avec FirewallD - Fedora Wiki
• FirewallD - Fedora Wiki
• Introduction à FirewallD - Guide de sécurité RedHat 7