Les pare-feu sont l'un des éléments les plus essentiels de la sécurité lorsque nous allons en ligne. Ici, nous apprenons les étapes et la commande pour installer, configurer et utiliser FirewallD sur Rocky Linux 8 à l'aide de la CLI ou de l'interface graphique.
Beaucoup d'entre nous qui ne sont pas déjà Linux connaissent déjà la fonction de pare-feu de Windows, où il est très facile d'activer ou de désactiver des ports ou des services à l'aide de l'interface graphique. Cependant, qu'en est-il de Linux tel que CentOS, Rocky Linux, RedHat, AlmaLinux, etc. Si vous utilisez Linux Desktop complet, un pare-feu serait déjà là, mais dans la plupart des cas sans interface graphique. Néanmoins, Debian, RedHat, Ubuntu et d'autres systèmes Linux fournissent le logiciel d'interface graphique de pare-feu approprié directement à partir de leur référentiel respectif pour gérer les choses à l'aide de clics de souris.
Mais que se passe-t-il si vous voulez juste une installation de base du système d'exploitation sans interface graphique ? Parce que les versions minimales de Linux n'auraient même pas la version CLI du pare-feu par défaut. Eh bien, c'est un très petit problème, si vous avez une connexion Internet active et grâce à un gestionnaire de paquets intégré sous Linux, nous pouvons installer un pare-feu avec une seule commande.
Fonctionnalités de FirewallD :
• API D-Bus complète
• Prise en charge d'IPv4, IPv6, pont et ipset
• Prise en charge NAT IPv4 et IPv6
• zones de pare-feu
• Une liste prédéfinie de zones, de services et de types ICMP
• Service simple, port, protocole, port source, masquage, redirection de port, filtre ICMP, règle enrichie, interface et gestion de l'adresse source dans les zones
• Définitions de service simples pour les ports, les protocoles, les ports sources, les modules (assistants Netfilter) et la gestion des adresses de destination
• Langage enrichi pour des règles plus flexibles et complexes dans les zones
• Règles chronométrées dans les zones
• Journalisation simple des paquets rejetés
• Interface directe
• Verrouillage :liste blanche des utilisateurs autorisés à modifier le pare-feu.
• Chargement automatique des modules du noyau Linux
• Fonctionne avec Puppet
• CLI pour les configurations en ligne et hors ligne
• Outil graphique (utilisant gtk3)
• Applet (utilisant Qt4)
Les pare-feu de CentOS étaient auparavant contrôlés par ipTables. Cela a été largement remplacé par FirewallD. Par défaut, seul le port 22 est ouvert sur Rocky Linux 8, sinon il est fermé pour le moment.
Étapes pour installer et configurer Firewalld sur Rocky Linux 8
La commande donnée ici s'appliquera également à d'autres systèmes basés sur Redhat tels que CentOS, Oracle Linux, Rocky Linux et RedHat.
1. Exigences
Il n'y a pas d'exigences particulières, cependant, assurez-vous d'avoir les éléments suivants :
• Rocky Linux 8
• Au moins un utilisateur sudo non root
• Une connexion Internet
• Accès au terminal
2. Mise à jour DNF
La toute première chose après avoir installé un système d'exploitation Linux ou avant de configurer un outil à l'aide du gestionnaire de packages consiste à exécuter une mise à jour du système. Cela garantira que tous les packages sont dans leur dernier état et actualisera également le cache du référentiel.
sudo dnf update
3. Installez Firewalld sur Rocky Linux 8
Nous n'avons pas besoin de rechercher un référentiel tiers pour obtenir les packages pour l'installation de FirewallD sur Rocky Linux 8 ou tout autre basé sur Redhat. Il est déjà fourni par le référentiel baseOS du système. Par conséquent, exécutez simplement la commande donnée et vous avez terminé.
sudo dnf install firewalld
4. Démarrer le service FirewallD
Le service de Firewalld ne démarrera pas de manière atomique, nous devons le faire manuellement et également activer le même pour qu'il s'exécute avec le démarrage du système.
sudo systemctl unmask firewalld
sudo systemctl start firewalld
sudo systemctl enable firewald
Vérifiez l'état :
sudo systemctl status firewalld
4. Vérifier la version
Une fois le processus d'installation terminé, nous pouvons vérifier la version du pare-feu pour confirmer qu'il est présent sur notre système.
sudo firewall-cmd --version
5. Utilisation de FirewallD sur Rocky Linux 8
Il existe quelques zones prédéfinies, que nous pouvons utiliser avec la commande de Firewalld pour configurer divers services et ports sur le système. Voici ceux :
déposer :Tous les paquets réseau entrants sont abandonnés, il n'y a pas de réponse. Seules les connexions réseau sortantes sont possibles.
bloquer :Toutes les connexions réseau entrantes sont rejetées avec un message icmp-host-prohibited pour IPv4 et icmp6-adm-prohibited pour IPv6. Seules les connexions réseau initiées au sein de ce système sont possibles.
public :Pour une utilisation dans les lieux publics. Vous ne faites pas confiance aux autres ordinateurs sur les réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
externe :Pour une utilisation sur des réseaux externes avec masquage activé spécialement pour les routeurs. Vous ne faites pas confiance aux autres ordinateurs sur les réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
dmz :pour les ordinateurs de votre zone démilitarisée qui sont accessibles au public avec un accès limité à votre réseau interne. Seules les connexions entrantes sélectionnées sont acceptées.
travail :Pour une utilisation dans les zones de travail. Vous faites principalement confiance aux autres ordinateurs sur les réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
accueil :Pour une utilisation à domicile. Vous faites principalement confiance aux autres ordinateurs sur les réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
interne :Pour une utilisation sur les réseaux internes. Vous faites principalement confiance aux autres ordinateurs sur les réseaux pour ne pas endommager votre ordinateur. Seules les connexions entrantes sélectionnées sont acceptées.
de confiance :Toutes les connexions réseau sont acceptées.
Syntaxe de commande pour autoriser ou bloquer les ports
Jusqu'à présent, vous seriez déjà familiarisé avec les zones du programme Firewalld, maintenant nous pouvons facilement utiliser le terminal de commande pour ouvrir, fermer et gérer des ports ou des services dans différentes zones.
Autoriser le port
Par exemple, vous souhaitez ouvrir le port 80 ou le service HTTP :
sudo firewall-cmd --permanent --zone=public --add-port=80/tcp
ou
sudo firewall-cmd --permanent --zone=public --add-service=http
De la même manière, nous pouvons ouvrir les ports 22, 443 ou des services non encore autorisés dans le pare-feu.
Après avoir ouvert le port, il est important de recharger le service de pare-feu pour appliquer les modifications que nous avons apportées.
sudo firewall-cmd --reload
Bloquer/supprimer le port
Alors que pour bloquer tout port ou service ouvert, nous avons juste besoin d'utiliser l'option de suppression, voici la syntaxe pour cela.
Par exemple, vous voulez bloquer le port 80, la commande sera :
sudo firewall-cmd --permanent --zone=public --remove-port=80/tcp
ou si vous connaissez le service correspondant au port :
sudo firewall-cmd --permanent --zone=public --remove-service=hhtp
Après cela, n'oubliez pas de recharger le pare-feu :
sudo firewall-cmd --reload
Répertorier tous les ports actifs :
Pour savoir quels sont les ports actifs dans le firewall pour se connecter, on peut les lister en utilisant le firewall-cmd commande :
sudo firewall-cmd --list-ports
Répertorier les informations de zone par défaut
Lorsque vous ne savez pas quelle zone dispose de quel type de service ou si vous souhaitez simplement obtenir toutes les informations relatives au pare-feu dans une zone différente, exécutez :
Pour lister - tous les ports
sudo firewall-cmd --list-all
Alors que pour certaines zones spécifiques uniquement, l'utilisateur peut déclarer la même chose dans la commande :
sudo firewall-cmd --list-all --zone=home
Commande pour voir quels services sont autorisés
Pour obtenir la seule liste des services autorisés dans le pare-feu :
sudo firewall-cmd --list-services
6. Installer l'interface graphique FirewallD sur Rocky Linux 8
Eh bien, ceux qui utilisent l'interface utilisateur graphique de Rocky Linux 8 ou de toute interface basée sur RPM peuvent opter pour l'interface graphique pour gérer facilement les services de pare-feu, comme l'ajout ou la suppression de ports et de services.
sudo dnf install firewall-config
Une fois l'installation terminée, accédez au lanceur d'applications et recherchez –Pare-feu . Lorsque son icône apparaît, cliquez pour exécuter la même chose.
À l'aide de l'interface graphique, nous pouvons facilement configurer divers services et ports en quelques clics.
7. Arrêtez et désactivez Firewalld
Chaque fois que vous ne souhaitez pas que votre pare-feu bloque ou autorise un port/service, nous pouvons l'arrêter temporairement jusqu'au démarrage du système.
sudo systemctl stop firewalld
Alors que si vous souhaitez arrêter et désactiver le pare-feu de manière permanente , exécutez :
sudo systemctl disable firewalld
sudo systemctl mask firewalld
8. Désinstaller ou supprimer
Si vous ne voulez plus du FirewallD sur votre système, nous pouvons le supprimer à l'aide du gestionnaire de packages DNF en utilisant le bouton "supprimer ".
sudo dnf remove firewalld
pour l'interface graphique, si vous avez installé :
sudo dnf remove firewall-config
Conclusion
De cette façon, nous pouvons installer et utiliser FirewallD sur Allamlinux et d'autres systèmes Linux basés sur RPM pour sécuriser notre système du monde extérieur dans une certaine mesure. Pour en savoir plus, consultez la documentation officielle de FirewallD.