Introduction à Firewalld ⋆ ALexHost SRL

Testez vos compétences sur tous nos services d'hébergement et bénéficiez de 15% de réduction!.

Use code at checkout:

Skills
19.11.2024

Introduction à Firewalld

Lorsque vous gérez la sécurité de votre serveur, une solution d’hébergement robuste est essentielle pour garantir la fiabilité et l’efficacité de vos configurations. L’hébergement VPS Linux d’AlexHost fournit une plateforme idéale pour la mise en œuvre de mesures de sécurité avancées, telles que la gestion dynamique du pare-feu avec Firewalld. Avec un accès complet à la racine, des ressources personnalisables et une haute performance, AlexHost vous assure la flexibilité et la stabilité nécessaires pour configurer et gérer Firewalld de manière efficace.

Firewalld est un outil de gestion de pare-feu dynamique qui fournit une manière plus flexible de gérer les paramètres de pare-feu sur les systèmes Linux. Il simplifie le processus de configuration des pare-feux par rapport aux outils traditionnels comme iptables, en offrant une interface plus facile à utiliser tout en conservant des fonctions de sécurité robustes. Firewalld est disponible par défaut sur plusieurs distributions Linux, notamment Fedora, CentOS et Red Hat Enterprise Linux. Ce guide présente Firewalld, ses concepts clés et la manière de l’utiliser efficacement.

Qu’est-ce que Firewalld ?

Firewalld est une interface frontale pour iptables et nftables, qui sont les mécanismes de pare-feu sous-jacents des systèmes Linux. Alors que ces outils traditionnels nécessitent la création et la gestion manuelles de règles, Firewalld offre un moyen plus simple de créer, de modifier et de gérer les règles de pare-feu de manière dynamique. Son principal avantage réside dans sa capacité à modifier les paramètres sans avoir à redémarrer le service de pare-feu ou à interrompre les connexions réseau actives.

Concepts clés de Firewalld

Avant de plonger dans l’utilisation de Firewalld, il est essentiel de comprendre certains concepts clés qui constituent la base de son fonctionnement.

1. Les zones

Les zones sont un concept central de Firewalld et représentent différents niveaux de confiance pour les connexions réseau. Chaque zone peut être configurée avec son propre ensemble de règles de pare-feu, et les interfaces réseau peuvent être assignées à des zones spécifiques en fonction de leurs besoins de sécurité.

Firewalld comprend plusieurs zones prédéfinies, telles que :

  • Zone publique: Convient aux zones publiques telles que les aéroports et les cafés où la sécurité est une priorité absolue.
  • Privé: Utilisée pour les réseaux de confiance, tels que le réseau de votre domicile ou de votre bureau.
  • Confiance: Toutes les connexions entrantes sont autorisées. Cette option ne doit être utilisée que pour les réseaux hautement sécurisés.
  • Bloquer: Les connexions entrantes sont interrompues sans réponse.
  • Drop: Similaire à Block, mais abandonne silencieusement tout le trafic entrant.
  • Interne: Utilisé pour les réseaux internes de confiance, autorisant des règles de pare-feu plus souples.

Vous pouvez également créer des zones personnalisées en fonction de vos besoins spécifiques.

2. Services

Les services dans Firewalld représentent un ensemble de règles de pare-feu prédéfinies pour des services réseau spécifiques, tels que HTTP, FTP ou SSH. Au lieu de configurer manuellement les ports et les protocoles, Firewalld vous permet d’activer ou de désactiver les services à l’aide d’une simple commande. Il est ainsi plus facile de gérer les règles de pare-feu sans avoir à comprendre tous les détails techniques du service sous-jacent.

3. Des règles riches

Les règles riches sont des règles avancées de Firewalld qui offrent un contrôle plus granulaire sur le filtrage du trafic. Elles permettent d’utiliser des conditions spécifiques telles que des adresses IP, des protocoles et des ports. Les règles riches sont utiles lorsque vous avez besoin de configurations plus complexes qui vont au-delà de ce qui est disponible avec les règles par défaut basées sur les zones.

4. Configuration en cours d’exécution ou permanente

Firewalld vous permet d’effectuer des modifications soit au moment de l’exécution, soit de manière permanente. Les modifications au moment de l’exécution sont immédiates mais sont perdues lorsque le système redémarre, alors que les modifications permanentes persistent à travers les redémarrages.

  • Configuration au moment de l’exécution: Immédiate, mais temporaire.
  • Configuration permanente: Longue durée, mais appliquée uniquement après un rechargement ou un redémarrage.

Cette séparation permet de tester les modifications avant de les appliquer de manière permanente.

Installation de Firewalld

Si Firewalld n’est pas installé par défaut sur votre système, vous pouvez facilement l’installer en utilisant le gestionnaire de paquets de votre distribution Linux. Par exemple :

  • Sur RHEL/CentOS/Fedora:
    sudo yum install firewalld
  • Sur Debian/Ubuntu:
    sudo apt-get install firewalld

Après l’installation, démarrez le service Firewalld et activez-le au démarrage :

sudo systemctl start firewalld
sudo systemctl enable firewalld

Commandes de base de Firewalld

Voici quelques commandes courantes de Firewalld pour vous aider à démarrer.

1. Vérifier l’état de Firewalld

Pour vérifier si Firewalld est en cours d’exécution, utilisez :

sudo firewall-cmd --state

S’il est en cours d’exécution, le résultat sera ” running” .

2. Liste des zones actives

Pour voir quelles sont les zones actives et quelles sont les interfaces réseau qui leur sont affectées, lancez la commande :

sudo firewall-cmd --get-active-zones

3. Définir la zone par défaut

Si vous souhaitez définir une zone par défaut pour les nouvelles connexions réseau, vous pouvez le faire avec :

sudo firewall-cmd --set-default-zone=public

4. Ajouter des services à une zone

Vous pouvez autoriser un service (comme SSH ou HTTP) dans une zone à l’aide de la commande suivante :

sudo firewall-cmd --zone=public --add-service=http

Pour rendre cette modification permanente, utilisez l’option –permanent :

sudo firewall-cmd --zone=public --add-service=http --permanent

5. Ouvrir des ports spécifiques

Si vous avez besoin d’ouvrir des ports spécifiques plutôt que d’activer des services prédéfinis, vous pouvez le faire avec :

sudo firewall-cmd --zone=public --add-port=8080/tcp

Rendez-le permanent en ajoutant –permanent comme précédemment.

6. Supprimer des services ou des ports

Pour supprimer un service ou un port d’une zone, utilisez les commandes –remove-service ou –remove-port:

sudo firewall-cmd --zone=public --remove-service=http
sudo firewall-cmd --zone=public --remove-port=8080/tcp

Testez vos compétences sur tous nos services d'hébergement et bénéficiez de 15% de réduction!.

Use code at checkout:

Skills