Comment utiliser set et pipefail dans les scripts Bash sous Linux
Agence web » Actualités du digital » Comment démarrer avec firewalld sous Linux

Comment démarrer avec firewalld sous Linux

ParTremplin Numérique Publié le

Si vous recherchez un pare-feu moderne et puissant pour Linux, facile à configurer en ligne de commande ou avec son interface graphique, alors firewalld est probablement ce que vous cherchez.

Le besoin de pare-feu

Les connexions réseau ont une origine et une destination. Le logiciel à l’origine demande la connexion et le logiciel à la destination l’accepte ou la refuse. S’il est accepté, les paquets de données, généralement appelés trafic réseau, peuvent passer dans les deux sens sur la connexion. Cela est vrai que vous partagez dans la pièce de votre propre maison, que vous vous connectiez à distance au travail depuis votre bureau à domicile ou que vous utilisiez une ressource distante basée sur le cloud.

Les bonnes pratiques de sécurité indiquent que vous devez limiter et contrôler les connexions à votre ordinateur. C’est ce que font les pare-feu. Ils filtrent le trafic réseau par adresse IP, port ou protocole, et rejettent les connexions qui ne répondent pas à un ensemble prédéfini de critères—le règles de pare-feu— que vous avez configuré. Ils sont comme du personnel de sécurité lors d’un événement exclusif. Si votre nom n’est pas sur la liste, vous n’entrez pas.

Bien sûr, vous ne voulez pas que vos règles de pare-feu soient si restrictives que vos activités normales soient réduites. Plus il est simple de configurer votre pare-feu, moins vous avez de chance de mettre en place par inadvertance des règles conflictuelles ou draconiennes. Nous entendons souvent des utilisateurs dire qu’ils n’utilisent pas de pare-feu parce qu’il est trop compliqué à comprendre ou que la syntaxe de la commande est trop opaque.

La firewalld Le pare-feu est puissant mais simple à configurer, à la fois sur la ligne de commande et via son application graphique dédiée. Sous le capot, les pare-feu Linux s’appuient sur netfilter , le framework de filtrage réseau côté noyau. Ici, dans le monde des utilisateurs, nous avons un choix d’outils avec lesquels interagir netfiltertel que iptables, ufw le pare-feu simple, et firewalld.

Selon nous, firewalld offre le meilleur équilibre entre fonctionnalité, granularité et simplicité.

Installation du pare-feu

Il y a deux parties à firewalld . Il y a firewalld le processus démon qui fournit la fonctionnalité de pare-feu, et il y a firewall-config. Il s’agit de l’interface graphique facultative pour firewalld. Notez qu’il n’y a pas de « d » dans firewall-config.

Installation firewalld sur Ubuntu, Fedora et Manjaro est simple dans tous les cas, bien qu’ils aient chacun leur propre point de vue sur ce qui est préinstallé et ce qui est fourni.

Pour installer sur Ubuntu, nous devons installer firewalld et firewall-config.

sudo apt install firewalld

Installation de firewalld sur Ubuntu

sudo apt install firewall-config

Installation de firewall-config sur Ubuntu

Sur Fedora, firewalld est déjà installé. Nous avons juste besoin d’ajouter firewall-config .

sudo dnf install firewall-config

Installation de firewall-config sur Fedora

Sur Manjaro, aucun des composants n’est préinstallé, mais ils sont regroupés dans un seul package afin que nous puissions les installer tous les deux avec une seule commande.

sudo pacman -Sy firewalld

Installation de firewalld et firewall-config avec une seule commande sur Manjaro

Nous devons activer le firewalld démon pour lui permettre de s’exécuter à chaque démarrage de l’ordinateur.

sudo systemctl enable firewalld

Activer firewalld pour démarrer automatiquement au démarrage

Et nous devons démarrer le démon pour qu’il fonctionne maintenant.

sudo systemctl start firewalld

Démarrage du démon firewalld

On peut utiliser systemctl pour vérifier ça firewalld a démarré et fonctionne sans problème :

sudo systemctl status firewalld

Vérification de l'état de firewalld avec systemctl

Nous pouvons également utiliser firewalld pour vérifier s’il tourne. Celui-ci utilise le firewall-cmd commande avec le --state option. Notez qu’il n’y a pas de « d » dans firewall-cmd :

sudo firewall-cmd --state

Vérification de l'état de firewalld avec la commande firewall-cmd

Maintenant que le pare-feu est installé et en cours d’exécution, nous pouvons passer à sa configuration.

Le concept de zone

La firewalld le pare-feu est basé autour secteurs. Les zones sont des ensembles de règles de pare-feu et une connexion réseau associée. Cela vous permet de personnaliser différentes zones (et un ensemble différent de limitations de sécurité) dans lesquelles vous pouvez fonctionner. Par exemple, vous pouvez avoir une zone définie pour une course régulière et quotidienne, une autre zone pour une course plus sécurisée et une zone de verrouillage complète « rien à l’intérieur, rien à l’extérieur ».

Pour passer d’une zone à une autre, et effectivement d’un niveau de sécurité à un autre, vous déplacez votre connexion réseau de la zone dans laquelle elle se trouve vers la zone dans laquelle vous souhaitez fonctionner.

Cela permet de passer très rapidement d’un ensemble défini de règles de pare-feu à un autre. Une autre façon d’utiliser les zones serait de faire en sorte que votre ordinateur portable utilise une zone lorsque vous êtes à la maison et une autre lorsque vous êtes absent et que vous utilisez le Wi-Fi public.

firewalld est livré avec neuf zones préconfigurées. Celles-ci peuvent être modifiées et d’autres zones peuvent être ajoutées ou supprimées.

  • goutte: Tous les paquets entrants sont abandonnés. Le trafic sortant est autorisé. C’est le réglage le plus paranoïaque.
  • bloquer: Tous les paquets entrants sont abandonnés et un icmp-host-prohibited message est envoyé à l’expéditeur. Le trafic sortant est autorisé.
  • de confiance: Toutes les connexions réseau sont acceptées et les autres systèmes sont approuvés. Il s’agit du paramètre le plus fiable et doit être limité à des environnements très sûrs tels que les réseaux de test captifs ou votre domicile.
  • Publique: Cette zone est destinée à être utilisée sur des réseaux publics ou autres où aucun des autres ordinateurs ne peut être approuvé. Une petite sélection de demandes de connexion courantes et généralement sûres sont acceptées.
  • externe: Cette zone est destinée à être utilisée sur des réseaux externes avec le masquage NAT (transfert de port) activé. Votre pare-feu agit comme un routeur redirigeant le trafic vers votre réseau privé qui reste accessible, mais toujours privé.
  • interne: Cette zone est destinée à être utilisée sur les réseaux internes lorsque votre système agit comme une passerelle ou un routeur. Les autres systèmes de ce réseau sont généralement fiables.
  • dmz: Cette zone est destinée aux ordinateurs situés dans la « zone démilitarisée » à l’extérieur de vos défenses de périmètre et avec un accès limité à votre réseau.
  • travailler: Cette zone est réservée aux machines de travail. Les autres ordinateurs de ce réseau sont généralement fiables.
  • domicile: Cette zone est réservée aux machines domestiques. Les autres ordinateurs de ce réseau sont généralement fiables.

La maison, le travail et les zones internes ont des fonctions très similaires, mais les séparer en différentes zones vous permet d’affiner une zone à votre goût, en encapsulant un ensemble de règles pour un scénario particulier.

Un bon point de départ consiste à déterminer quelle est la zone par défaut. Il s’agit de la zone à laquelle vos interfaces réseau sont ajoutées lorsque firewalld est installé.

sudo firewall-cmd --get-default-zone

Trouver la zone de pare-feu par défaut

Notre zone par défaut est la zone publique. Pour voir les détails de configuration d’une zone, utilisez le --list-all option. Ceci répertorie tout ce qui a été ajouté ou activé pour une zone.

sudo firewall-cmd --zone=public --list-all

Lister les détails de la zone publique

Nous pouvons voir que cette zone est associée à la connexion réseau enp0s3 et autorise le trafic lié à DHCP, mDNS et SSH. Comme au moins une interface a été ajoutée à cette zone, cette zone est active.

firewalld permet d’ajouter prestations de service dont vous souhaitez accepter le trafic vers une zone. Cette zone autorise alors le passage de ce type de trafic. C’est plus facile que de se rappeler que mDNS, par exemple, utilise le port 5353 et le protocole UDP, et d’ajouter manuellement ces détails à la zone. Bien que vous puissiez le faire aussi.

Si nous exécutons la commande précédente sur un ordinateur portable avec une connexion Ethernet et une carte Wi-Fi, nous verrons quelque chose de similaire, mais avec deux interfaces.

sudo firewall-cmd --zone=public --list-all

Une zone avec deux interfaces

Nos deux interfaces réseau ont été ajoutées à la zone par défaut. La zone a des règles pour les trois mêmes services que le premier exemple, mais DHCP et SSH ont été ajoutés en tant que services nommés, tandis que mDNS a été ajouté en tant qu’appariement de port et de protocole.

Pour répertorier toutes les zones, utilisez le --get-zones option.

sudo firewall-cmd --get-zones

Lister toutes les zones pare-feu

Pour voir la configuration de toutes les zones à la fois, utilisez le --list-all-zones option. Vous aurez envie de canaliser cela dans less.

sudo firewall-cmd --list-all-zones | less

Liste des détails de toutes les zones

Ceci est utile car vous pouvez faire défiler la liste ou utiliser la fonction de recherche pour rechercher des numéros de port, des protocoles et des services.

Les détails de toutes les zones affichés en moins

Sur notre ordinateur portable, nous allons déplacer notre connexion Ethernet de la zone publique vers la zone domestique. Nous pouvons le faire avec le --zone et --change-interface options.

sudo firewall-cmd --zone=home --change-interface=enp3s0

Ajouter une interface réseau à la zone d'accueil

Jetons un coup d’œil à la zone d’origine et voyons si notre changement a été effectué.

sudo firewall-cmd --zone=home --list-all

La zone d'accueil avec une interface réseau ajoutée

Et c’est le cas. Notre connexion Ethernet est ajoutée à la zone d’accueil.

Cependant, ce n’est pas un changement permanent. Nous avons changé le fonctionnement configuration du pare-feu, pas son stockée configuration. Si nous redémarrons ou utilisons le --reload option, nous allons revenir à nos paramètres précédents.

Pour rendre un changement permanent, nous devons utiliser le bien nommé --permanent option.

Cela signifie que nous pouvons modifier le pare-feu pour des besoins ponctuels sans modifier la configuration stockée du pare-feu. Nous pouvons également tester les modifications avant de les envoyer à la configuration. Pour rendre notre changement permanent, le format que nous devons utiliser est :

sudo firewall-cmd --zone=home --change-interface=enp3s0 --permanent

Si vous apportez des modifications mais oubliez d’utiliser --permanent sur certains d’entre eux, vous pouvez écrire les paramètres de la session en cours du pare-feu dans la configuration à l’aide de la --runtime-to-permanent option.

sudo firewall-cmd --runtime-to-permanent

Rechargement de la configuration du pare-feu

Ajout et suppression de services

firewalld connaît beaucoup de services. Vous pouvez les lister en utilisant le --get-services option.

sudo firewall-cmd --get-services

Répertorier les services auxquels firewalld peut faire référence par leur nom

Notre version de firewalld répertorié 192 services. Pour activer un service dans une zone, utilisez le --add-service option.

Liste des services reconnus

Nous pouvons ajouter un service à une zone en utilisant le --add-service option.

sudo firewall-cmd --zone=public --add-service=http

Ajouter le service HTTP à une zone

Le nom du service doit correspondre à son entrée dans la liste des services de firewalld.

Pour supprimer un remplacement de service --add-service avec --remove-service

Ajout et suppression de ports et de protocoles

Si vous préférez choisir les ports et les protocoles à ajouter, vous pouvez également le faire. Vous aurez besoin de connaître le numéro de port et le protocole pour le type de trafic que vous ajoutez.

Ajoutons le trafic HTTPS à la zone publique. Cela utilise le port 443 et est une forme de trafic TCP.

sudo firewall-cmd --zone=public --add-port=443/tcp

Ajouter un appairage de port et de protocole à une zone

Vous pouvez fournir une plage de ports en indiquant le premier et le dernier ports avec un trait d’union « -» entre eux, comme « 400-450 ».

Pour supprimer un port remplacer --add-port avec --remove-port .

Utilisation de l’interface graphique

Appuyez sur votre touche « Super » et commencez à taper « pare-feu ». Vous verrez l’icône du mur de briques pour le firewall-config application.

Cliquez sur cette icône pour lancer l’application.

Pour ajouter un service à firewalld l’utilisation de l’interface graphique est aussi simple que de sélectionner une zone dans la liste des zones et de sélectionner le service dans la liste des services.

Vous pouvez choisir de modifier la session en cours ou la configuration permanente en sélectionnant « Runtime » ou « Permanent » dans le menu déroulant « Configuration ».

Le menu déroulant de configuration

Pour apporter des modifications à la session en cours et ne valider les modifications qu’une fois que vous avez testé leur fonctionnement, définissez le menu « Configuration » sur « Exécution ». Apportez vos modifications. Une fois que vous êtes satisfait qu’ils fassent ce que vous voulez, utilisez l’option de menu Options > Runtime to Permanent.

Pour ajouter une entrée de port et de protocole à une zone, sélectionnez la zone dans la liste des zones et cliquez sur « Ports ». Cliquer sur le bouton Ajouter vous permet de fournir le numéro de port et de choisir le protocole dans un menu.

Ajout d'un couplage de port et de protocole à l'aide de l'interface graphique de configuration du pare-feu

Pour ajouter un protocole, cliquez sur « Protocoles », cliquez sur le bouton « Ajouter » et sélectionnez le protocole dans le menu contextuel.

Un protocole dans la zone publique, dans l'interface graphique de configuration du pare-feu

Pour déplacer une interface d’une zone à une autre, double-cliquez sur l’interface dans la liste « Connexions », puis sélectionnez la zone dans le menu contextuel.

Déplacement d'une interface réseau d'une zone à une autre dans l'interface graphique de configuration du pare-feu

Le sommet de l’iceberg

Vous pouvez faire beaucoup plus avec firewalld, mais c’est suffisant pour être opérationnel. Avec les informations que nous vous avons fournies, vous pourrez créer des règles significatives dans vos zones.

★★★★★

Tremplin Numérique

La rédaction de Tremplin Numérique, agence web française. Nos auteurs vous fournissent quotidiennement et gratuitement les dernières actualités tech et digital, en France et dans le monde.