Show pageOld revisionsBacklinksBack to top This page is read only. You can view the source, but not change it. Ask your administrator if you think this is wrong. ====== Firewalld ====== ===== Listes des zones ===== * Drop zone: Tous les paquets entrants sont drop. Seul le trafic sortant est autorisé * Block zone: Tous les paquets entrants sont rejetés avec un « icmp-host-prohibited ». Seules les connections établies sont autorisées. * Public zone: Accepte les connections définies. Les autres sont refusés. * External zone: Cette zone agit comme un routeur avec du NAT. Seules les connections définies sont autorisées. * DMZ zone: Si l’on a besoin de rendre disponible certains services par tout le monde, c’est cette zone qu’il faut utiliser. Seules les connections définies sont autorisées. * Work zone: On peut définir que le trafic privé et interne. * Home zone: Cette zone est pour les zones de confiances où les machines du réseau sont de confiance. Seules les connections entrantes définies sont autorisées. * Internal zone: Comme la Work zone avec seules les connections définies autorisées. * Trusted zone: Tout le trafic est autorisé. ===== Commandes pour les zones ===== ==== Liste de zone ==== * Voir les zones : <code>firewall-cmd --get-zones</code> * Voir la zone par defaut: <code>firewall-cmd --get-default-zone</code> * Voir les règles de toutes les zones : <code>firewall-cmd --list-all-zones</code> * Définir la zone par défaut : <code>firewall-cmd --set-default-zone=internal</code> * Voir la zone d’une interface: <code>firewall-cmd --get-zone-of-interface=enp0s3</code> ==== Services ==== * Voir les services: <code>firewall-cmd --get-services</code> * Répertoire des services : <code>/usr/lib/firewalld/services/</code> * Créer son service depuis un existant <code> cd /etc/firewalld/services/ cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/ cd /etc/firewalld/services/ vim ssh.xml firewall-cmd --reload </code> ==== FirewallD management ==== * Voir l’état du firewall : <code>firewall-cmd --state</code> <code>firewall-cmd --get-active-zones</code> * Ajout d’un service à une zone temporairement: <code>firewall-cmd –zone=public --add-service=rtmp</code> * Suppression d’un service d’une zone : <code>firewall-cmd --zone=public --remove-service=rtmp</code> * Ajout d’un service à une zone de manière permanente : <code>firewall-cmd --add-service=rtmp --permanent</code> <code>firewall-cmd --reload</code> * Ajout d’une source et d’un port à une zone : <code>firewall-cmd --permanent --add-source=192.168.0.0/24</code> <code>firewall-cmd --permanent --add-port=1935/tcp</code> <code>firewall-cmd --reload</code> <code>firewall-cmd --list-all</code> * Autoriser un réseau à acceder à un service de manière temporaire ou permanente : <code>firewall-cmd --add-rich-rule 'rule family="ipv4" source \ address="192.168.0.0/24" service name="http" accept'</code> <code>firewall-cmd --add-rich-rule 'rule family="ipv4" source \ address="192.168.0.0/24" service name="http" accept' –permanent</code> <code>firewall-cmd --reload</code> <code>firewall-cmd --list-all</code> * Des/Activation du mode panic: <code>firewall-cmd --panic-on</code> <code>firewall-cmd --panic-off</code> * Voir/Ajout du NAT à la zone external : <code>firewall-cmd --zone=external --query-masquerade</code> <code>firewall-cmd --zone=external --add-masquerade</code> * Ajout d’une règle de port forwarding: <code>firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2222:toaddr=192.168.0.132</code> * Voir les types d’icmp: <code>firewall-cmd --get-icmptypes</code> * Voir l’état du blocage d’une requête icmp : <code>firewall-cmd --zone=public --query-icmp-block=echo-reply</code> * Bloquer un type de requête icmp: <code>firewall-cmd --zone=public --add-icmp-block=echo-reply</code> * Voir/Créer/Supprimer un règle direct: <code>firewall-cmd --direct --get-rules ipv4 filter IN_public_allow</code> <code>firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 25 -j ACCEPT</code> <code>firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 25 -j ACCEPT</code> * Activer le lockdown: <code>vim /etc/firewalld/firewalld.conf Lockdown=yes </code> <code>firewall-cmd --lockdown-on</code> <code>firewall-cmd --lockdown-off</code> * Ajout d’une IP en trusted <code>firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" accept'</code> * Blacklist d’une IP <code>firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.250" reject'</code> <code>firewall-cmd --zone=public --list-all</code> cheatsheet/firewalld.txt Last modified: 2024/10/14 20:59by 127.0.0.1