Articles

Comment Configurer un Pare-feu À L’aide de FirewallD sur CentOS 7

admin

Introduction

Firewalld est une solution de gestion de pare-feu disponible pour de nombreuses distributions Linux qui agit comme une interface pour le système de filtrage de paquets iptables fourni par le noyau Linux. Dans ce guide, nous expliquerons comment configurer un pare-feu pour votre serveur et vous montrerons les bases de la gestion du pare-feu avec l’outil d’administration firewall-cmd (si vous préférez utiliser iptables avec CentOS, suivez ce guide).

Remarque: Il est possible que vous travailliez avec une version de firewalld plus récente que celle disponible au moment de la rédaction de cet article, ou que votre serveur ait été configuré légèrement différemment de l’exemple de serveur utilisé dans ce guide. Ainsi, le comportement de certaines des commandes expliquées dans ce guide peut varier en fonction de votre configuration spécifique.

Concepts de base dans Firewalld

Avant de commencer à parler de la façon d’utiliser réellement l’utilitaire firewall-cmd pour gérer la configuration de votre pare-feu, nous devrions nous familiariser avec quelques concepts de base que l’outil introduit.

Zones

Le démon firewalld gère des groupes de règles à l’aide d’entités appelées  » zones « . Les zones sont essentiellement des ensembles de règles dictant le trafic à autoriser en fonction du niveau de confiance que vous avez dans les réseaux auxquels votre ordinateur est connecté. Les interfaces réseau se voient attribuer une zone pour dicter le comportement que le pare-feu doit autoriser.

Pour les ordinateurs qui peuvent se déplacer fréquemment entre les réseaux (comme les ordinateurs portables), ce type de flexibilité constitue une bonne méthode pour modifier vos règles en fonction de votre environnement. Vous pouvez avoir des règles strictes en place interdisant la plupart du trafic lorsque vous utilisez un réseau WiFi public, tout en permettant des restrictions plus détendues lorsqu’il est connecté à votre réseau domestique. Pour un serveur, ces zones ne sont pas aussi importantes immédiatement car l’environnement réseau change rarement, voire jamais.

Quelle que soit la dynamique de votre environnement réseau, il est toujours utile de se familiariser avec l’idée générale derrière chacune des zones prédéfinies pour firewalld. Dans l’ordre du moins fiable au plus fiable, les zones prédéfinies dans firewalld sont:

  • chute: Le niveau de confiance le plus bas. Toutes les connexions entrantes sont supprimées sans réponse et seules les connexions sortantes sont possibles.bloc
  • : Similaire à ce qui précède, mais au lieu de simplement supprimer les connexions, les demandes entrantes sont rejetées avec un message icmp-host-prohibited ou icmp6-adm-prohibited.
  • public : Représente des réseaux publics non fiables. Vous ne faites pas confiance aux autres ordinateurs, mais vous pouvez autoriser certaines connexions entrantes au cas par cas.
  • externe : Réseaux externes dans le cas où vous utilisez le pare-feu comme passerelle. Il est configuré pour le masquage NAT afin que votre réseau interne reste privé mais accessible.
  • interne : L’autre côté de la zone externe, utilisé pour la partie interne d’une passerelle. Les ordinateurs sont assez fiables et certains services supplémentaires sont disponibles.
  • dmz : Utilisé pour les ordinateurs situés dans une DMZ (ordinateurs isolés qui n’auront pas accès au reste de votre réseau). Seules certaines connexions entrantes sont autorisées.
  • travail: Utilisé pour les machines de travail. Faites confiance à la plupart des ordinateurs du réseau. Quelques services supplémentaires pourraient être autorisés.
  • accueil: Un environnement familial. Cela implique généralement que vous faites confiance à la plupart des autres ordinateurs et que quelques services supplémentaires seront acceptés.
  • confiance : Faites confiance à toutes les machines du réseau. La plus ouverte des options disponibles et doit être utilisée avec parcimonie.

Pour utiliser le pare-feu, nous pouvons créer des règles et modifier les propriétés de nos zones, puis affecter nos interfaces réseau aux zones les plus appropriées.

Permanence des règles

Dans firewalld, les règles peuvent être désignées comme permanentes ou immédiates. Si une règle est ajoutée ou modifiée, par défaut, le comportement du pare-feu en cours d’exécution est modifié. Au prochain démarrage, les anciennes règles seront rétablies.

La plupart des opérations firewall-cmd peuvent utiliser l’indicateur --permanent pour indiquer que le pare-feu non éphémère doit être ciblé. Cela affectera le jeu de règles qui est rechargé au démarrage. Cette séparation signifie que vous pouvez tester les règles dans votre instance de pare-feu active, puis les recharger en cas de problème. Vous pouvez également utiliser l’indicateur --permanent pour créer un ensemble complet de règles au fil du temps qui seront toutes appliquées en même temps lorsque la commande reload est émise.

Installer et activer le démarrage de votre Pare-feu au démarrage

firewalld est installé par défaut sur certaines distributions Linux, y compris de nombreuses images de CentOS 7. Cependant, il peut être nécessaire que vous installiez firewalld vous-même:

  • sudo yum install firewalld

Après avoir installé firewalld, vous pouvez activer le service et redémarrer votre serveur. Gardez à l’esprit que l’activation de firewalld entraînera le démarrage du service au démarrage. Il est recommandé de créer vos règles de pare-feu et d’en profiter pour les tester avant de configurer ce comportement afin d’éviter d’éventuels problèmes.

     
  • sudo systemctl enable firewalld
    •  
  • sudo reboot
    •

Lorsque le serveur redémarre, votre pare-feu doit être activé, vos interfaces réseau doivent être placées dans les zones que vous avez configurées (ou revenir à la zone par défaut configurée), et toutes les règles associées à la ou aux zones seront appliquées aux interfaces associées.

Nous pouvons vérifier que le service est en cours d’exécution et accessible en tapant:

  • sudo firewall-cmd --state
output
running

Cela indique que notre pare-feu est opérationnel avec la configuration par défaut.

Se familiariser avec les règles de pare-feu actuelles

Avant de commencer à apporter des modifications, nous devons nous familiariser avec l’environnement et les règles par défaut fournis par le démon.

En explorant les valeurs par défaut

Nous pouvons voir quelle zone est actuellement sélectionnée par défaut en tapant:

  • firewall-cmd --get-default-zone

output
public

Puisque nous n’avons pas donné firewalld de commandes pour dévier de la zone par défaut, et qu’aucune de nos interfaces n’est configurée pour se lier à une autre zone, cette zone sera également la seule zone « active » (la zone qui contrôle le trafic pour nos interfaces). Nous pouvons vérifier cela en tapant:

  • firewall-cmd --get-active-zones
output
public interfaces: eth0 eth1

Ici, nous pouvons voir que notre exemple de serveur a deux interfaces réseau contrôlées par le pare-feu (eth0 et eth1). Ils sont tous deux actuellement gérés selon les règles définies pour la zone publique.

Comment savons-nous quelles règles sont associées à la zone publique? Nous pouvons imprimer la configuration de la zone par défaut en tapant:

  • sudo firewall-cmd --list-all
output
public (default, active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

Nous pouvons dire à partir de la sortie que cette zone est à la fois la zone par défaut et active et que les interfaces eth0 et eth1 sont associées à cette zone (nous savions déjà tout cela de nos enquêtes précédentes). Cependant, nous pouvons également voir que cette zone permet les opérations normales associées à un client DHCP (pour l’attribution d’adresses IP) et SSH (pour l’administration à distance).

Exploration des zones alternatives

Maintenant, nous avons une bonne idée de la configuration de la zone par défaut et active. Nous pouvons également trouver des informations sur d’autres zones.

Pour obtenir une liste des zones disponibles, tapez:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

Nous pouvons voir la configuration spécifique associée à une zone en incluant le paramètre --zone= dans notre commande --list-all:

  • sudo firewall-cmd --zone=home --list-all
output
home interfaces: sources: services: dhcpv6-client ipp-client mdns samba-client ssh ports: masquerade: no forward-ports: icmp-blocks: rich rules:

Vous pouvez afficher toutes les définitions de zone en utilisant l’option --list-all-zones. Vous voudrez probablement canaliser la sortie dans un téléavertisseur pour une visualisation plus facile:

  • sudo firewall-cmd --list-all-zones | less

Sélection de zones pour vos interfaces

Sauf si vous avez configuré vos interfaces réseau autrement, chaque interface sera placée dans la zone par défaut au démarrage du pare-feu.

Modification de la Zone d’une interface

Vous pouvez effectuer la transition d’une interface entre les zones au cours d’une session en utilisant le paramètre --zone= en combinaison avec le paramètre --change-interface=. Comme pour toutes les commandes qui modifient le pare-feu, vous devrez utiliser sudo.

Par exemple, nous pouvons faire la transition de notre interface eth0 vers la zone « accueil » en tapant ceci:

  • sudo firewall-cmd --zone=home --change-interface=eth0
output
success
Remarque

Chaque fois que vous effectuez la transition d’une interface vers une nouvelle zone, sachez que vous modifiez probablement les services qui seront opérationnels. Par exemple, nous passons ici à la zone « home », qui dispose de SSH. Cela signifie que notre connexion ne devrait pas tomber. Certaines autres zones n’ont pas SSH activé par défaut et si votre connexion est interrompue lors de l’utilisation de l’une de ces zones, vous risquez de ne pas pouvoir vous reconnecter.

Nous pouvons vérifier que cela a réussi en demandant à nouveau les zones actives:

  • firewall-cmd --get-active-zones
output
home interfaces: eth0public interfaces: eth1

Réglage de la zone par défaut

Si toutes vos interfaces peuvent être gérées au mieux par une seule zone, il est probablement plus facile de simplement sélectionner la meilleure zone par défaut, puis de l’utiliser pour votre configuration.

Vous pouvez modifier la zone par défaut avec le paramètre --set-default-zone=. Cela changera immédiatement toute interface qui était retombée par défaut sur la nouvelle zone:

  • sudo firewall-cmd --set-default-zone=home 
output
success

Définition de règles pour vos Applications

La façon de base de définir des exceptions de pare-feu pour les services que vous souhaitez rendre disponibles est simple. Nous allons parcourir l’idée de base ici.

Ajout d’un service à vos zones

La méthode la plus simple consiste à ajouter les services ou les ports dont vous avez besoin aux zones que vous utilisez. Encore une fois, vous pouvez obtenir une liste des services disponibles avec l’option --get-services:

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

Remarque

Vous pouvez obtenir plus de détails sur chacun de ces services en consultant leur fichier .xml associé dans le répertoire /usr/lib/firewalld/services. Par exemple, le service SSH est défini comme suit :

/usr/lib/firewalld/services/ssh.xml
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

Vous pouvez activer un service pour une zone à l’aide du paramètre --add-service=. L’opération ciblera la zone par défaut ou toute zone spécifiée par le paramètre --zone=. Par défaut, cela ajustera uniquement la session de pare-feu en cours. Vous pouvez ajuster la configuration permanente du pare-feu en incluant l’indicateur --permanent.

Par exemple, si nous exécutons un serveur Web desservant un trafic HTTP conventionnel, nous pouvons autoriser ce trafic pour les interfaces de notre zone  » publique  » pour cette session en tapant:

  • sudo firewall-cmd --zone=public --add-service=http

Vous pouvez laisser de côté le --zone= si vous souhaitez modifier la zone par défaut. Nous pouvons vérifier que l’opération a réussi en utilisant les opérations --list-all ou --list-services:

  • sudo firewall-cmd --zone=public --list-services
output
dhcpv6-client http ssh

Une fois que vous aurez testé que tout fonctionne comme il se doit, vous voudrez probablement modifier les règles de pare-feu permanent afin que votre service soit toujours disponible après un redémarrage. Nous pouvons rendre notre changement de zone « publique » permanent en tapant:

  • sudo firewall-cmd --zone=public --permanent --add-service=http
output
success

Vous pouvez vérifier que cela a réussi en ajoutant l’indicateur --permanent à l’opération --list-services. Vous devez utiliser sudo pour toutes les opérations --permanent:

  • sudo firewall-cmd --zone=public --permanent --list-services
output
dhcpv6-client http ssh

Votre zone « publique  » autorisera désormais le trafic Web HTTP sur le port 80. Si votre serveur Web est configuré pour utiliser SSL/TLS, vous voudrez également ajouter le service https. Nous pouvons ajouter cela à la session en cours et à la règle permanente en tapant:

     
  • sudo firewall-cmd --zone=public --add-service=https
    •  
  • sudo firewall-cmd --zone=public --permanent --add-service=https
    •

Que Se Passe-T-Il Si Aucun Service Approprié N’Est Disponible?

Les services de pare-feu inclus dans l’installation de firewalld représentent un grand nombre des exigences les plus courantes pour les applications auxquelles vous pouvez autoriser l’accès. Cependant, il y aura probablement des scénarios où ces services ne correspondent pas à vos besoins.

Dans cette situation, vous avez deux options.

Ouverture d’un port pour vos zones

Le moyen le plus simple d’ajouter la prise en charge de votre application spécifique consiste à ouvrir les ports qu’elle utilise dans la ou les zones appropriées. C’est aussi simple que de spécifier le port ou la plage de ports et le protocole associé pour les ports que vous devez ouvrir.

Par exemple, si notre application s’exécute sur le port 5000 et utilise TCP, nous pourrions l’ajouter à la zone « publique » de cette session en utilisant le paramètre --add-port=. Les protocoles peuvent être tcp ou udp:

  • sudo firewall-cmd --zone=public --add-port=5000/tcp
output
success

Nous pouvons vérifier que cela a réussi en utilisant l’opération --list-ports:

  • sudo firewall-cmd --zone=public --list-ports
output
5000/tcp

Il est également possible de spécifier une plage séquentielle de ports en séparant le port de début et de fin de la plage avec un tiret. Par exemple, si notre application utilise les ports UDP 4990 à 4999, nous pourrions les ouvrir sur « public » en tapant:

  • sudo firewall-cmd --zone=public --add-port=4990-4999/udp

Après les tests, nous voudrions probablement les ajouter au pare-feu permanent. Vous pouvez le faire en tapant:

     
  • sudo firewall-cmd --zone=public --permanent --add-port=5000/tcp
    •  
  • sudo firewall-cmd --zone=public --permanent --add-port=4990-4999/udp
    •  
  • sudo firewall-cmd --zone=public --permanent --list-ports
    •  
output
successsuccess5000/tcp 4990-4999/udp

Définir un service

L’ouverture de ports pour vos zones est facile, mais il peut être difficile de suivre à quoi chacun sert. Si jamais vous désactivez un service sur votre serveur, vous aurez peut-être du mal à vous souvenir des ports qui ont été ouverts qui sont toujours nécessaires. Pour éviter cette situation, il est possible de définir un service.Les services

sont simplement des collections de ports avec un nom et une description associés. L’utilisation des services est plus facile à administrer que les ports, mais nécessite un peu de travail initial. La façon la plus simple de démarrer est de copier un script existant (trouvé dans /usr/lib/firewalld/services) dans le répertoire /etc/firewalld/services où le pare-feu recherche des définitions non standard.

Par exemple, nous pourrions copier la définition de service SSH à utiliser pour notre définition de service « exemple » comme ceci. Le nom de fichier moins le suffixe .xml dictera le nom du service dans la liste des services de pare-feu:

  • sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/example.xml

Maintenant, vous pouvez ajuster la définition trouvée dans le fichier que vous avez copié:

sudo vi /etc/firewalld/services/example.xml

Pour commencer, le fichier contiendra la définition SSH que vous avez copiée :

/etc/firewalld/services/example.xml 
<?xml version="1.0" encoding="utf-8"?><service> <short>SSH</short> <description>Secure Shell (SSH) is a protocol for logging into and executing commands on remote machines. It provides secure encrypted communications. If you plan on accessing your machine remotely via SSH over a firewalled interface, enable this option. You need the openssh-server package installed for this option to be useful.</description> <port protocol="tcp" port="22"/></service>

La majorité de cette définition est en fait des métadonnées. Vous voudrez changer le nom abrégé du service dans les balises <short>. Il s’agit d’un nom lisible par l’homme pour votre service. Vous devez également ajouter une description afin d’avoir plus d’informations si vous avez besoin d’auditer le service. La seule configuration que vous devez effectuer qui affecte réellement la fonctionnalité du service sera probablement la définition de port où vous identifiez le numéro de port et le protocole que vous souhaitez ouvrir. Cela peut être spécifié plusieurs fois.

Pour notre service « exemple », imaginez que nous ayons besoin d’ouvrir le port 7777 pour TCP et 8888 pour UDP. En entrant en mode INSERTION en appuyant sur i, nous pouvons modifier la définition existante avec quelque chose comme ceci:

/etc/firewalld/services/example.xml 
<?xml version="1.0" encoding="utf-8"?><service> <short>Example Service</short> <description>This is just an example service. It probably shouldn't be used on a real system.</description> <port protocol="tcp" port="7777"/> <port protocol="udp" port="8888"/></service>

Appuyez sur ESC, puis entrez :x pour enregistrer et fermer le fichier.

Rechargez votre pare-feu pour accéder à votre nouveau service:

  • sudo firewall-cmd --reload

Vous pouvez voir qu’il fait maintenant partie de la liste des services disponibles:

  • firewall-cmd --get-services
output
RH-Satellite-6 amanda-client amanda-k5-client bacula bacula-client bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client dns docker-registry dropbox-lansync elasticsearch example freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master high-availability http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kibana klogin kpasswd kshell ldap ldaps libvirt libvirt-tls managesieve mdns mosh mountd ms-wbt mssql mysql nfs nrpe ntp openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius rpc-bind rsh rsyncd samba samba-client sane sip sips smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client vdsm vnc-server wbem-https xmpp-bosh xmpp-client xmpp-local xmpp-server

Vous pouvez désormais utiliser ce service dans vos zones comme vous le feriez normalement.

Création de vos propres zones

Bien que les zones prédéfinies soient probablement plus que suffisantes pour la plupart des utilisateurs, il peut être utile de définir vos propres zones plus descriptives de leur fonction.

Par exemple, vous pouvez créer une zone pour votre serveur Web, appelée « publicweb ». Cependant, vous voudrez peut-être configurer une autre zone pour le service DNS que vous fournissez sur votre réseau privé. Vous voudrez peut-être une zone appelée « privateDNS » pour cela.

Lors de l’ajout d’une zone, vous devez l’ajouter à la configuration du pare-feu permanent. Vous pouvez ensuite recharger pour introduire la configuration dans votre session en cours d’exécution. Par exemple, nous pourrions créer les deux zones dont nous avons parlé ci-dessus en tapant:

     
  • sudo firewall-cmd --permanent --new-zone=publicweb
    •  
  • sudo firewall-cmd --permanent --new-zone=privateDNS
    •

Vous pouvez vérifier que ceux-ci sont présents dans votre configuration permanente en tapant:

  • sudo firewall-cmd --permanent --get-zones
output
block dmz drop external home internal privateDNS public publicweb trusted work

Comme indiqué précédemment, ceux-ci ne seront pas encore disponibles dans l’instance actuelle du pare-feu:

  • firewall-cmd --get-zones
output
block dmz drop external home internal public trusted work

Rechargez le pare-feu pour intégrer ces nouvelles zones dans la configuration active:

     
  • sudo firewall-cmd --reload
    •  
  • firewall-cmd --get-zones
    •  
output
block dmz drop external home internal privateDNS public publicweb trusted work

Maintenant, vous pouvez commencer à attribuer les services et les ports appropriés à vos zones. C’est généralement une bonne idée d’ajuster l’instance active, puis de transférer ces modifications dans la configuration permanente après les tests. Par exemple, pour la zone  » publicweb « , vous pouvez ajouter les services SSH, HTTP et HTTPS:

     
  • sudo firewall-cmd --zone=publicweb --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --add-service=https
    •  
  • sudo firewall-cmd --zone=publicweb --list-all
    •  
output
publicweb target: default icmp-block-inversion: no interfaces: sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

De même, nous pouvons ajouter le service DNS à notre zone « privateDNS »:

     
  • sudo firewall-cmd --zone=privateDNS --add-service=dns
    •  
  • sudo firewall-cmd --zone=privateDNS --list-all
    •  
output
privateDNS interfaces: sources: services: dns ports: masquerade: no forward-ports: icmp-blocks: rich rules:

Nous pourrions ensuite changer nos interfaces vers ces nouvelles zones pour les tester:

     
  • sudo firewall-cmd --zone=publicweb --change-interface=eth0
    •  
  • sudo firewall-cmd --zone=privateDNS --change-interface=eth1
    •

À ce stade, vous avez la possibilité de tester votre configuration. Si ces valeurs fonctionnent pour vous, vous voudrez ajouter les mêmes règles à la configuration permanente. Vous pouvez le faire en appliquant à nouveau les règles avec l’indicateur --permanent:

     
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=ssh
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=http
    •  
  • sudo firewall-cmd --zone=publicweb --permanent --add-service=https
    •  
  • sudo firewall-cmd --zone=privateDNS --permanent --add-service=dns
    •

Après avoir appliqué ces règles de manière permanente, vous pouvez redémarrer votre réseau et recharger votre service de pare-feu:

     
  • sudo systemctl restart network
    •  
  • sudo systemctl reload firewalld
    •

Valider que les zones correctes ont été attribuées:

  • firewall-cmd --get-active-zones
output
privateDNS interfaces: eth1publicweb interfaces: eth0

Et valider que les services appropriés sont disponibles pour les deux zones:

  • sudo firewall-cmd --zone=publicweb --list-services
output
http https ssh
  • sudo firewall-cmd --zone=privateDNS --list-services
output
dns

Vous avez réussi à configurer vos propres zones! Si vous souhaitez faire de l’une de ces zones la valeur par défaut pour les autres interfaces, n’oubliez pas de configurer ce comportement avec le paramètre --set-default-zone=:

sudo firewall-cmd --set-default-zone=publicweb

Conclusion

Vous devriez maintenant avoir une assez bonne compréhension de la façon d’administrer le service firewalld sur votre système CentOS pour une utilisation quotidienne.

Le service firewalld vous permet de configurer des règles maintenables et des jeux de règles qui prennent en compte votre environnement réseau. Il vous permet de faire une transition transparente entre les différentes stratégies de pare-feu grâce à l’utilisation de zones et donne aux administrateurs la possibilité d’abstraire la gestion des ports en définitions de service plus conviviales. Acquérir une connaissance pratique de ce système vous permettra de profiter de la flexibilité et de la puissance que cet outil offre.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Previous post Cefalu, Italie: Un Guide complet de la ville balnéaire sicilienne
Next post Idées De Dîner Mystère Avec Des Éléments De Menu