Firewalld

• Drop zone: Tous les paquets entrants sont drop. Seul le trafic sortant est autorisé
• Block zone: Tous les paquets entrants sont rejetés avec un  « icmp-host-prohibited ». Seules les connections établies sont autorisées.
• Public zone: Accepte les connections définies. Les autres sont refusés.
• External zone: Cette zone agit comme un routeur avec du NAT. Seules les connections définies sont autorisées.
• DMZ zone: Si l’on a besoin de rendre disponible certains services par tout le monde, c’est cette zone qu’il faut utiliser. Seules les connections définies sont autorisées.
• Work zone: On peut définir que le trafic privé et interne.
• Home zone: Cette zone est pour les zones de confiances où les machines du réseau sont de confiance. Seules les connections entrantes définies sont autorisées.
• Internal zone: Comme la Work zone avec seules les connections définies autorisées.
• Trusted zone: Tout le trafic est autorisé.

• Voir les zones :

firewall-cmd --get-zones

• Voir la zone par defaut:

firewall-cmd --get-default-zone

• Voir les règles de toutes les zones :

firewall-cmd --list-all-zones

• Définir la zone par défaut :

firewall-cmd --set-default-zone=internal

• Voir la zone d’une interface:

firewall-cmd --get-zone-of-interface=enp0s3

• Voir les services:

firewall-cmd --get-services

• Répertoire des services :

/usr/lib/firewalld/services/

• Créer son service depuis un existant

cd /etc/firewalld/services/
cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/
cd /etc/firewalld/services/
vim ssh.xml
firewall-cmd --reload

• Voir l’état du firewall :

firewall-cmd --state

firewall-cmd --get-active-zones

• Ajout d’un service à une zone temporairement:

firewall-cmd –zone=public --add-service=rtmp

• Suppression d’un service d’une zone :

firewall-cmd --zone=public --remove-service=rtmp

• Ajout d’un service à une zone de manière permanente :

firewall-cmd --add-service=rtmp --permanent

firewall-cmd --reload

• Ajout d’une source et d’un port à une zone :

firewall-cmd --permanent --add-source=192.168.0.0/24

firewall-cmd --permanent --add-port=1935/tcp

firewall-cmd --reload

firewall-cmd --list-all

• Autoriser un réseau à acceder à un service de manière temporaire ou permanente :

firewall-cmd --add-rich-rule 'rule family="ipv4" source \ address="192.168.0.0/24" service name="http" accept'

firewall-cmd --add-rich-rule 'rule family="ipv4" source \ address="192.168.0.0/24" service name="http" accept' –permanent

firewall-cmd --reload

firewall-cmd --list-all

• Des/Activation du mode panic:

firewall-cmd --panic-on

firewall-cmd --panic-off

• Voir/Ajout du NAT à la zone external :

firewall-cmd --zone=external --query-masquerade

firewall-cmd --zone=external --add-masquerade

• Ajout d’une règle de port forwarding:

firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toport=2222:toaddr=192.168.0.132

• Voir les types d’icmp:

firewall-cmd --get-icmptypes

• Voir l’état du blocage d’une requête icmp :

firewall-cmd --zone=public --query-icmp-block=echo-reply

• Bloquer un type de requête icmp:

firewall-cmd --zone=public --add-icmp-block=echo-reply

• Voir/Créer/Supprimer un règle direct:

firewall-cmd --direct --get-rules ipv4 filter IN_public_allow

firewall-cmd --direct --add-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 25 -j ACCEPT

firewall-cmd --direct --remove-rule ipv4 filter IN_public_allow 0 -m tcp -p tcp --dport 25 -j ACCEPT

• Activer le lockdown:

vim /etc/firewalld/firewalld.conf
  Lockdown=yes

firewall-cmd --lockdown-on

firewall-cmd --lockdown-off

• Ajout d’une IP en trusted

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.254" accept'

• Blacklist d’une IP

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="192.168.0.250" reject'

firewall-cmd --zone=public --list-all