Scribd Logo
Importer

Bienvenue sur Scribd !

  • Firewalld

    Transféré par

    Jozef Louzna
    21 vues3 pages

    Titre original

    firewalld

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    21 vues3 pages

    Firewalld

    Transféré par

    Jozef Louzna

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    Verifier la presence de firewalld

    #rpm -qa |grep firewalld

    Lister les fichiers de configuration du paquetage firewalld

    #rpm –qc firewalld

    Afficher le fichier de configuration

    #vi /etc/firewalld/firewalld.conf

    Vérifier le statut de firewalld

    #systemctl status firewalld

    #firewalld-cmd –state

    Afficher la configuration actuelle

    #firewalld-cmd –list-all

    Afficher les zones availables

    #firewalld-cmd –get-zones

    Afficher les services prises en charge.

    #firewalld-cmd –get-services

    #ls /usr/lib/firewalld/services

    #cat /usr/lib/firewalld/mysql.xml

    Ouvrir le port mysql

    Afficher la zone par defaut

    #firewalld-cmd –get-defalt-zone

    Changer la zone par défaut : internal

    #firewalld-cmd –set-default-zone=internal

    Ajouter le port 3306/tcp

    #firewalld-cmd –zone=public --add-port=3306/tcp

    Lister la config actuelle

    #firewalld-cmd –list-all

    Supprimer le port 3306/tcp

    #firewalld-cmd –zone=public --remove-port=3306/tcp

    Ajouter le service mysql

    #firewalld-cmd --add-service=mysql

    Redémarrer le parefeu

    #firewalld-cmd --reload

    Lister la config actuelle (Pb la configuration disparait).

    #firewalld-cmd --add-service=mysql –permanent


    Partie 2

    Afficher le statut de httpd

    Systemctl stsatus httpd

    Ajouter les ports 3306/tcp, 80/tcp et 8080/tcp

    #firewalld-cmd --add-port={3306/tcp,80/tcp,8080/tcp}

    Ajouter une plage de ports de 5000 à 5010

    #firewalld-cmd --add-port=5000-5010

    #firewalld-cmd --add-service=(mysql,http,https,ldap)

    Redemarrer le parefeu

    #firewalld-cmd --reload

    Lister les sockets en ecoute

    #netstat –ntlp

    Ouvrir le port 8080

    #firewalld-cmd --add-port=8080/tcp

    Vérifier avec netstat (aucun processus lancé)

    Ajouter un port de transfert local

    #firewalld-cmd --add-forward-port=port=8080 :tcp :toport=80

    Ajouter un port de transfert distant

    #firewalld-cmd --add-forward-port=port=8080 :tcp :toport=80 :toaddr=192.168.1.2

    Accéder à la page d’accueil web

    #curl http://192.168.1.1/index.html (pas d’accès, le port n’est pas ouvert)

    #firewalld-cmd --remove-forward-port=port =8080:proto:tcp:toport=80

    Autoriser / refuser tout le trafic de 192.168.1.2

    #firewalld-cmd --add-rich-rule=’rule family= "ipv4” source address="192.168.1.2" accept’

    #firewalld-cmd --add-rich-rule=’rule family= "ipv4” source address="192.168.1.3" drop’

    #firewalld-cmd --list-rich-rules

    #cp /usr/lib/firewalld/services/mysql.xml /etc/firewall/services/

    Renommer mysql.xm à myapp.xml

    #firewalld-cmd --get-services

    #firewalld-cmd --add-services=myapp

    #firewalld-cmd --reload
    n distingue alors les zones prédéfinies suivantes :

    • zone drop: le niveau le plus bas de confiance. Toute connexion entrante est supprimée sans notification et
    seules les connexions sortantes sont autorisées.
    • zone block: zone similaire à celle-ci-dessus, mais au lieu de supprimer les connexions entrantes sans
    notification, ces flux sont rejetés à l’aide d’un message icmp-host-prohibited (ou icmp6-adm-prohibited
    pour IPv6).
    • zone public: représente l’ensemble des réseaux publics ou non sécurisés. On ne fait pas confiance aux
    autres ordinateurs ou serveurs mais, on peut traiter les connexions entrantes au cas par cas à l’aide de
    règles.
    • zone external: représente les réseaux externes lorsque l’on utilise le pare-feu local comme une passerelle.
    Dans ce cas, la zone est configurée pour le "masquerading NAT" et les réseaux internes demeurent ainsi
    privés mais accessibles.
    • zone internal: représente l’autre face de la zone external, utilisée pour la portion interne d’une passerelle.
    Les serveurs sont totalement accrédités et certains services supplémentaires peuvent mêmes être
    disponibles.
    • zone dmz: utilisée pour les serveurs au sein d’une zone démilitarisée ou DMZ. Seules quelques connexions
    entrantes sont alors autorisées.
    • zone work: utilisées pour des machines de travail permettant de faire confiance à la plupart des serveurs du
    réseau. Quelques services supplémentaires pourront être autorisés.
    • zone home: une zone de sécurité personnelle. Cela implique la plupart du temps que l’on fait confiance aux
    autres machines et que certains autres services peuvent aussi être accrédités.
    • zone trusted: permet de faire confiance à toutes les machines du réseau. Il s’agit du niveau de confiance le
    plus élevé à utiliser avec précaution.

    Vous aimerez peut-être aussi