GNU/Linux >> Tutoriels Linux >  >> Linux

Premiers pas avec les pare-feux Linux

Un pare-feu intelligent est la première ligne de défense de votre ordinateur contre les intrusions sur le réseau. Lorsque vous êtes chez vous, vous êtes probablement derrière un pare-feu intégré au routeur fourni par votre fournisseur d'accès Internet. Cependant, lorsque vous n'êtes pas chez vous, le seul pare-feu dont vous disposez est celui qui s'exécute sur votre ordinateur. Il est donc important de configurer et de contrôler le pare-feu sur votre ordinateur Linux. Si vous utilisez un serveur Linux, il est tout aussi important de savoir comment gérer votre pare-feu afin de pouvoir le protéger du trafic indésirable à la fois localement et à distance.

Installer un pare-feu

De nombreuses distributions Linux sont livrées avec un pare-feu déjà installé, et traditionnellement c'était iptables . Il est extrêmement efficace et personnalisable, mais il peut être complexe à configurer. Heureusement, les développeurs ont produit plusieurs interfaces pour aider les utilisateurs à contrôler leur pare-feu sans écrire de longues règles iptables.

Sur Fedora, CentOS, Red Hat et les distributions similaires, le logiciel de pare-feu installé par défaut est firewalld , qui est configuré et contrôlé avec le firewall-cmd commande. Sur Debian et la plupart des autres distributions, firewalld peut être installé à partir de votre référentiel de logiciels. Ubuntu est livré avec le pare-feu non compliqué (ufw), donc pour utiliser firewalld, vous devez activer l'univers référentiel :

univers $ sudo add-apt-repository
$ sudo apt install firewalld

Vous devez également désactiver ufw :

$ sudo systemctl disable ufw

Il n'y a aucune raison pas utiliser ufw. C'est une excellente interface de pare-feu. Cependant, cet article se concentre sur firewalld en raison de sa large disponibilité et de son intégration dans systemd, qui est livré avec presque toutes les distributions.

Quelle que soit votre distribution, pour qu'un pare-feu soit efficace, il doit être actif, et il doit être chargé au démarrage :

$ sudo systemctl enable --now firewalld

Comprendre les zones de pare-feu

Firewalld vise à rendre la configuration du pare-feu aussi simple que possible. Pour ce faire, il établit des zones . Une zone est un ensemble de règles communes sensées qui répondent aux besoins quotidiens de la plupart des utilisateurs. Il y en a neuf par défaut :

  • de confiance : Toutes les connexions réseau sont acceptées. Il s'agit du paramètre de pare-feu le moins paranoïaque et ne doit être utilisé que dans un environnement de confiance, tel qu'un laboratoire de test ou dans une maison familiale où tout le monde sur le réseau local est connu pour être amical.
  • domicile, travail, interne : Dans ces trois zones, la plupart des connexions entrantes sont acceptées. Ils excluent chacun le trafic sur les ports qui ne s'attendent généralement à aucune activité. N'importe lequel d'entre eux est un paramètre raisonnable pour une utilisation dans un environnement domestique où il n'y a aucune raison de s'attendre à ce que le trafic réseau masque les ports et où vous faites généralement confiance aux autres utilisateurs du réseau.
  • public : Pour une utilisation dans les espaces publics. Il s'agit d'un paramètre paranoïaque, destiné aux moments où vous ne faites pas confiance aux autres ordinateurs du réseau. Seules les connexions entrantes communes et principalement sûres sélectionnées sont acceptées.
  • dmz : DMZ signifie zone démilitarisée. Cette zone est destinée aux ordinateurs accessibles publiquement, situés sur le réseau externe d'une organisation avec un accès limité au réseau interne. Pour les ordinateurs personnels, ce n'est généralement pas une zone utile, mais c'est une option importante pour certains types de serveurs.
  • externe : Pour une utilisation sur des réseaux externes avec masquage activé (ce qui signifie que les adresses de votre réseau privé sont mappées et cachées derrière une adresse IP publique). Semblable à la zone dmz, seules les connexions entrantes sélectionnées sont acceptées, y compris SSH.
  • bloquer : Seules les connexions réseau initiées au sein de ce système sont possibles, et toutes les connexions réseau entrantes sont rejetées avec un icmp-host-prohibited message. Il s'agit d'un paramètre extrêmement paranoïaque et constitue une option importante pour certains types de serveurs ou d'ordinateurs personnels dans un environnement non fiable ou hostile.
  • déposer : Tous les paquets réseau entrants sont abandonnés sans réponse. Seules les connexions réseau sortantes sont possibles. Le seul paramètre plus paranoïaque que celui-ci est de désactiver votre Wi-Fi et de débrancher votre câble Ethernet.

Vous pouvez en savoir plus sur chaque zone et toutes les autres zones définies par votre distribution ou votre administrateur système en consultant les fichiers de configuration dans /usr/lib/firewalld/zones . Par exemple, voici la zone FedoraWorkstation livrée avec Fedora 31 :

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml 


  Fedora Workstation
  Les paquets réseau entrants non sollicités sont rejetés du port 1 à 1024, sauf pour certains services réseau. Les paquets entrants liés aux connexions réseau sortantes sont acceptés. Les connexions réseau sortantes sont autorisées.
  
  
  
  
  
 
Obtenir votre zone actuelle
 

 Vous pouvez voir dans quelle zone vous vous trouvez à tout moment avec le --get-active-zones choix :
 
$ sudo firewall-cmd --get-active-zones 
 

 En réponse, vous recevez le nom de la zone active ainsi que l'interface réseau qui lui est attribuée. Sur un ordinateur portable, cela signifie généralement que vous avez une carte WiFi dans la zone par défaut :
 Interfaces 
FedoraWorkstation
  :wlp61s0
 
Modifier votre zone actuelle
 

 Pour changer de zone, réaffectez votre interface réseau à une autre zone. Par exemple, pour changer l'exemple wlp61s0 carte à la zone publique :
 
$ sudo firewall-cmd --change-interface=wlp61s0 \
--zone=public
 

 
 

 Plus de ressources Linux
 
     
  • Aide-mémoire des commandes Linux
    • 
 
  • Aide-mémoire des commandes Linux avancées
    • 
 
  • Cours en ligne gratuit :Présentation technique de RHEL
    • 
 
  • Aide-mémoire sur le réseau Linux
    • 
 
  • Aide-mémoire SELinux
    • 
 
  • Aide-mémoire sur les commandes courantes de Linux
    • 
 
  • Que sont les conteneurs Linux ?
    • 
 
  • Nos derniers articles Linux
    • 
 

 

 Vous pouvez modifier la zone active d'une interface à tout moment et pour n'importe quelle raison, que vous sortiez dans un café et que vous ressentiez le besoin d'augmenter la politique de sécurité de votre ordinateur portable, ou que vous alliez travailler et que vous ayez besoin de vous ouvrir certains ports pour accéder à l'intranet, ou pour toute autre raison. Les options pour firewall-cmd saisie semi-automatique lorsque vous appuyez sur Tab clé, donc tant que vous vous souvenez des mots-clés "changer" et "zone", vous pouvez trébucher sur la commande jusqu'à ce que vous l'appreniez de mémoire.
 
En savoir plus
 

 Vous pouvez faire beaucoup plus avec votre pare-feu, notamment personnaliser les zones existantes, définir une zone par défaut, etc. Plus vous êtes à l'aise avec les pare-feu, plus vos activités en ligne sont sécurisées, c'est pourquoi nous avons créé une feuille de triche pour une référence rapide et facile.
 
Téléchargez votre aide-mémoire de pare-feu
Linux

  1. Démarrer avec NetworkManager sous Linux

  2. Premiers pas avec la commande Linux tac

  3. Premiers pas avec PiFlash :démarrer votre Raspberry Pi sous Linux

  4. Premiers pas avec la commande Linux cat

  5. Premiers pas avec PostgreSQL sous Linux

Premiers pas avec GIT sous Linux

Premiers pas avec le système d'exploitation Linux

Tutoriel Vagrant - Premiers pas avec Vagrant sous Linux

Premiers pas avec Docker Compose sous Linux

Premiers pas avec VirtualBox sous Linux - Partie 1

Premiers pas avec Flutter sur Linux Desktop