FirewallD est un outil de gestion de pare-feu disponible par défaut sur les serveurs CentOS 7. C'est un type de solution de gestion de pare-feu qui gère les règles iptables. Fondamentalement, FirewallD remplace iptables comme outil de gestion de pare-feu par défaut.
Chez LinuxAPT, dans le cadre de nos services de gestion de serveur, nous aidons régulièrement nos clients à effectuer des requêtes FirewallD connexes.
Dans ce contexte, nous verrons comment mettre en place un pare-feu sur le serveur CentOS 7 et quelques concepts de base de FirewallD.
Concepts de base du pare-feu
FirewallD utilise des concepts de services et de zones au lieu de règles et de chaînes iptables. En utilisant cela, vous pouvez configurer quel trafic doit être autorisé ou interdit vers et depuis le système. FirewallD utilise l'utilitaire firewall-cmd pour gérer la configuration de votre pare-feu.
Zones FirewallD
Les zones sont des ensembles de règles qui spécifient quel trafic doit être autorisé en fonction du niveau de confiance que vous avez dans les réseaux auxquels votre ordinateur est connecté. Vous pouvez attribuer des interfaces réseau et des sources à une zone.
Voici les zones prédéfinies incluses dans FirewallD dans l'ordre du niveau de confiance de la zone, du moins fiable au plus fiable :
- drop :toutes les connexions entrantes sont abandonnées sans aucune réponse. Seules les connexions sortantes sont autorisées. C'est le niveau de confiance le plus bas.
- bloquer :identique à ci-dessus, mais toutes les connexions entrantes sont rejetées avec un message icmp-host-prohibited ou icmp6-adm-prohibited. Seules les connexions sortantes sont autorisées.
- public :cela représente les zones publiques non fiables. Vous ne faites pas confiance aux autres ordinateurs du réseau, mais vous pouvez autoriser certaines connexions entrantes.
- externe :réseaux externes dans le cas où vous utilisez le pare-feu comme passerelle. Il est configuré pour le masquage NAT afin que votre réseau interne reste privé mais accessible.
- interne :pour les ordinateurs de votre réseau interne, seules les connexions entrantes sélectionnées sont acceptées.
- dmz :zone démilitarisée DMZ, accessible au public avec un accès limité au réseau interne, seules les connexions entrantes sélectionnées sont acceptées.
- work :utilisé pour les machines de travail. Faites confiance à la plupart des ordinateurs du réseau. Quelques services supplémentaires peuvent être autorisés.
- home :utilisé pour les machines domestiques. Les autres ordinateurs du réseau sont généralement dignes de confiance. Seules les connexions entrantes sélectionnées sont autorisées.
- de confiance :toutes les connexions réseau sont acceptables. Faire confiance à tous les ordinateurs du réseau.
Services de pare-feu
Les services FirewallD sont des fichiers de configuration xml, avec des règles prédéfinies qui s'appliquent dans une zone et définissent les paramètres nécessaires pour autoriser le trafic entrant pour un service spécifique. Les fichiers de configuration xml sont stockés dans les répertoires /usr/lib/firewalld/services/ et /etc/firewalld/services/.
Comment installer et activer FirewallD ?
Avant de poursuivre cette procédure d'installation, assurez-vous de vous connecter avec un compte d'utilisateur activé sudo ou avec un utilisateur root.
Par défaut, Firewalld est disponible sur votre CentOS 7. S'il n'est pas sur votre système, vous pouvez installer le package en exécutant la commande ci-dessous :
$ sudo yum install firewalld
Le service Firewalld est désactivé par défaut. Vous pouvez vérifier l'état du pare-feu avec :
$ sudo firewall-cmd --state
Si vous avez installé maintenant ou n'avez pas été activé auparavant, l'impression ne fonctionnera pas, sinon elle imprimera en cours d'exécution.
Vous pouvez démarrer le service FirewallD et l'activer au démarrage en tapant :
$ sudo systemctl start firewalld
$ sudo systemctl enable firewalld
Comment configurer votre pare-feu avec FirewallD ?
Par défaut, après avoir activé le service FirewallD, la zone publique est la zone par défaut. Vous pouvez obtenir la liste de la zone par défaut en tapant :
$ sudo firewall-cmd --get-default-zone
Pour obtenir la liste de toutes les zones disponibles, exécutez la commande ci-dessous :
$ sudo firewall-cmd --get-zones
Toutes les interfaces réseau sont affectées à la zone par défaut. Pour vérifier quelles zones sont utilisées par votre ou vos interfaces réseau, saisissez :
$ sudo firewall-cmd --get-active-zones
Vous pouvez imprimer les paramètres de configuration de la zone avec :
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0 eth1
sources:
services: ssh dhcpv6-client
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
Comment changer la zone par défaut du pare-feu ?
Pour modifier la zone par défaut, utilisez l'indicateur –set-default-zone suivi du nom de la zone que vous souhaitez définir par défaut. Par exemple, pour changer la zone par défaut en domicile, vous devez exécuter la commande suivante :
$ sudo firewall-cmd --set-default-zone=dmz
Vérifiez les modifications avec :
$ sudo firewall-cmd --get-default-zone
Autoriser la règle FirewallD pour HTTP et HTTPS
Pour ajouter des règles de service permanentes pour HTTP et HTTPS à la zone dmz, exécutez :
$ firewall-cmd --zone=dmz --add-service=http --permanent
$ firewall-cmd --zone=dmz --add-service=https --permanent