firewalld est la méthode par défaut dans Red Hat Enterprise Linux 7 pour gérer les pare-feu au niveau de l'hôte. Commencé à partir du pare-feu. service service systemd, firewalld gère le sous-système netfilter du noyau Linux à l'aide des commandes de bas niveau iptables, ip6tables et ebtables.
Configuration par défaut des zones de pare-feu
Nom de la zone | Configuration par défaut |
---|---|
de confiance | Autoriser tout le trafic entrant. |
accueil | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde aux services prédéfinis ssh, mdns, ipp-client, samba-client ou dhcpv6-client. |
interne | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde aux services prédéfinis ssh, mdns, ipp-client, samba-client ou dhcpv6-client (identique à la zone d'accueil pour commencer). |
travail | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde aux services prédéfinis ssh, ipp - client ou dhcpv6 - client. |
public | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde aux services prédéfinis ssh ou dhcpv6 du client. La zone par défaut pour les interfaces réseau nouvellement ajoutées |
externe | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde au service prédéfini ssh. Le trafic 1Pv4 sortant transféré via cette zone est masqué pour donner l'impression qu'il provient de l'adresse 1Pv4 de l'interface réseau sortante. |
dmz | Rejeter le trafic entrant à moins qu'il ne soit lié au trafic sortant ou qu'il ne corresponde au service prédéfini ssh. |
bloquer | Rejeter tout le trafic entrant sauf s'il est lié au trafic sortant. |
déposer | Supprimez tout le trafic entrant sauf s'il est lié au trafic sortant (ne répondez même pas avec des erreurs ICMP). |
Référence de la ligne de commande Firewalld
Commandes firewall -cmd | Explication |
---|---|
–get-default-zone | Demandez la zone par défaut actuelle. |
–set-default-zone=[ZONE] | Définir la zone par défaut. Cela modifie à la fois le runtime et la configuration permanente. |
–get-zones | Répertorier toutes les zones disponibles. |
–get-services | Répertorier tous les services prédéfinis. |
–get-active-zones | Répertorier toutes les zones actuellement utilisées (ayant une interface ou une source qui leur sont liées), ainsi que leurs informations d'interface et de source. |
–add-source=[CIDR] [ –zone=[ZONE] | Acheminez tout le trafic provenant de l'adresse IP ou du réseau/masque de réseau [CIDR] vers la zone spécifiée. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–remove-source=[CIDR] [ –zone=[ZONE] | Supprimez la règle acheminant tout le trafic provenant de l'adresse IP ou du réseau/masque de réseau [CIDR] de la zone spécifiée. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–add-interface=[INTERFACE] [ –zone=[ZONE] | Acheminez tout le trafic provenant de [INTERFACE] vers la zone spécifiée. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–change -interface=[INTERFACE] [–zone=[ZONE] | Associez l'interface à [ZONE] au lieu de sa zone actuelle. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–list-all [–zone=[ZONE]] | Répertorier toutes les interfaces, sources, services et ports configurés pour [ZONE]. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–list-all-zones | Récupérer toutes les informations pour toutes les zones (interfaces, sources, ports, services, etc.). |
–add-service=[SERVICE] | Autoriser le trafic vers [SERVICE]. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–add-port=[PORT/PROTOCOLE] | Autoriser le trafic vers le(s) port(s) [PORT/PROTOCOL]. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–remove-service=[SERVICE] | Supprimer [SERVICE] de la liste autorisée pour la zone. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–remove-port=[PORT/PROTOCOLE] | Supprimez le(s) port(s) [PORT/PROTOCOL] de la liste autorisée pour la zone. Si aucune option –zone=n'est fournie, la zone par défaut sera utilisée. |
–recharger | Supprimer la configuration d'exécution et appliquer la configuration persistante. |