Android

Comment configurer un pare-feu avec firewalld sur centos 7

desactivation du parefeu selinux centos7

desactivation du parefeu selinux centos7

Table des matières:

Anonim

Un pare-feu correctement configuré est l'un des aspects les plus importants de la sécurité globale du système.

FirewallD est une solution de pare-feu complète qui gère les règles iptables du système et fournit une interface D-Bus pour les utiliser. À partir de CentOS 7, FirewallD remplace iptables comme outil de gestion de pare-feu par défaut.

Dans ce didacticiel, nous vous montrons comment configurer un pare-feu avec FirewallD sur votre système CentOS 7 et vous expliquons les concepts de base de FirewallD.

Conditions préalables

Avant de commencer ce didacticiel, assurez-vous que vous êtes connecté à votre serveur avec un compte d'utilisateur avec les privilèges sudo ou avec l'utilisateur root. La meilleure pratique consiste à exécuter des commandes d'administration en tant qu'utilisateur sudo au lieu de root. Si vous n'avez pas d'utilisateur sudo sur votre système CentOS, vous pouvez en créer un en suivant ces instructions.

Concepts de base de Firewalld

FirewallD utilise les concepts de zones et de services, au lieu de la chaîne et des règles iptables. En fonction des zones et des services que vous configurerez, vous pouvez contrôler le trafic autorisé ou non à destination et en provenance du système.

FirewallD peut être configuré et géré à l'aide de l'utilitaire de ligne de commande firewall-cmd .

Zones pare-feu

Les zones sont des ensembles de règles prédéfinies spécifiant le trafic à autoriser en fonction du niveau de confiance sur les réseaux auxquels votre ordinateur est connecté. Vous pouvez affecter des interfaces réseau et des sources à une zone.

Vous trouverez ci-dessous les zones fournies par FirewallD classées selon le niveau de confiance de la zone de non approuvé à approuvé:

  • drop: toutes les connexions entrantes sont abandonnées sans aucune notification. Seules les connexions sortantes sont autorisées. bloquer: toutes les connexions entrantes sont rejetées avec un message icmp-host-prohibited pour IPv4 et icmp6-adm-prohibited pour IPv6n. Seules les connexions sortantes sont autorisées. public: pour une utilisation dans les zones publiques non fiables. Vous ne faites pas confiance aux autres ordinateurs du réseau, mais vous pouvez autoriser les connexions entrantes sélectionnées. externe: pour une utilisation sur des réseaux externes avec le masquage NAT activé lorsque votre système agit comme une passerelle ou un routeur. Seules les connexions entrantes sélectionnées sont autorisées. internal: pour une utilisation sur les réseaux internes lorsque votre système agit comme une passerelle ou un routeur. Les autres systèmes du réseau sont généralement fiables. Seules les connexions entrantes sélectionnées sont autorisées. dmz: utilisé pour les ordinateurs situés dans votre zone démilitarisée qui ont un accès limité au reste de votre réseau. Seules les connexions entrantes sélectionnées sont autorisées. travail: Utilisé pour les machines de travail. Les autres ordinateurs du réseau sont généralement fiables. Seules les connexions entrantes sélectionnées sont autorisées. home: Utilisé pour les machines domestiques. Les autres ordinateurs du réseau sont généralement fiables. Seules les connexions entrantes sélectionnées sont autorisées. de confiance: toutes les connexions réseau sont acceptées. Faites confiance à tous les ordinateurs du réseau.

Services de pare-feu

Les services Firewalld sont des règles prédéfinies qui s'appliquent au sein d'une zone et définissent les paramètres nécessaires pour autoriser le trafic entrant pour un service spécifique.

Exécution de Firewalld et paramètres permanents

Firewalld utilise deux jeux de configuration séparés, le runtime et la configuration permanente.

La configuration d'exécution est la configuration en cours d'exécution et elle n'est pas persistante lors des redémarrages. Lorsque le service Firewalld démarre, il charge la configuration permanente, qui devient la configuration d'exécution.

Par défaut, lorsque vous modifiez la configuration de Firewalld à l'aide de l'utilitaire firewall-cmd , les modifications sont appliquées à la configuration d'exécution. Pour rendre les modifications permanentes, vous devez utiliser l'option --permanent .

Installation et activation de FirewallD

  1. Firewalld est installé par défaut sur CentOS 7, mais s'il n'est pas installé sur votre système, vous pouvez installer le package en tapant:

    sudo yum install firewalld

    Le service Firewalld est désactivé par défaut. Vous pouvez vérifier l'état du pare-feu avec:

    sudo firewall-cmd --state

    Pour démarrer le service FirewallD et l'activer au type de démarrage:

    sudo systemctl start firewalld sudo systemctl enable firewalld

Travailler avec des zones Firewalld

Après avoir activé le service FirewallD pour la première fois, la zone public est définie comme zone par défaut. Vous pouvez afficher la zone par défaut en tapant:

sudo firewall-cmd --get-default-zone

public

Pour obtenir une liste de toutes les zones disponibles, tapez:

sudo firewall-cmd --get-zones

block dmz drop external home internal public trusted work

Par défaut, toutes les interfaces réseau se voient attribuer la zone par défaut. Pour vérifier quelles zones sont utilisées par vos interfaces réseau, tapez:

sudo firewall-cmd --get-active-zones

public interfaces: eth0 eth1

La sortie ci-dessus nous indique que les deux interfaces eth0 et eth1 sont affectées à la zone publique.

Vous pouvez imprimer les paramètres de configuration de zone avec:

sudo firewall-cmd --zone=public --list-all

public (active) target: default icmp-block-inversion: no interfaces: eth0 eth1 sources: services: ssh dhcpv6-client ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

De la sortie ci-dessus, nous pouvons voir que la zone publique est active et définie par défaut, utilisée par les interfaces eth0 et eth1 . De plus, les connexions liées au client DHCP et SSH sont autorisées.

sudo firewall-cmd --list-all-zones

La commande imprime une énorme liste avec les paramètres de toutes les zones disponibles.

Modification de la zone d'une interface

Vous pouvez facilement modifier la zone d'interface en utilisant l'option --zone en combinaison avec l'option --change-interface . La commande suivante affectera l'interface eth1 à la zone de travail:

sudo firewall-cmd --zone=work --change-interface=eth1

Vérifiez les modifications en tapant:

sudo firewall-cmd --get-active-zones

work interfaces: eth1 public interfaces: eth0

Modification de la zone par défaut

Pour modifier la zone par défaut, utilisez l'option --set-default-zone suivie du nom de la zone que vous souhaitez définir par défaut.

Par exemple, pour changer la zone par défaut en home, vous devez exécuter la commande suivante:

sudo firewall-cmd --set-default-zone=home

Vérifiez les modifications avec:

sudo firewall-cmd --get-default-zone

home

Ouverture d'un port ou d'un service

Avec FirewallD, vous pouvez autoriser le trafic pour des ports spécifiques en fonction de règles prédéfinies appelées services.

Pour obtenir une liste de tous les services disponibles par défaut, tapez:

sudo firewall-cmd --get-services

Vous pouvez trouver plus d'informations sur chaque service en ouvrant le fichier.xml associé dans le /usr/lib/firewalld/services . Par exemple, le service HTTP est défini comme ceci:

/usr/lib/firewalld/services/http.xml

WWW (HTTP) HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages. WWW (HTTP) HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.

Pour autoriser le trafic HTTP entrant (port 80) pour les interfaces dans la zone publique, uniquement pour la session en cours (configuration d'exécution), tapez:

sudo firewall-cmd --zone=public --add-service=http Si vous modifiez la zone par défaut, vous pouvez laisser de côté l'option --zone .

Pour vérifier que le service a été ajouté avec succès, utilisez l'option --list-services :

sudo firewall-cmd --zone=public --list-services

ssh dhcpv6-client

sudo firewall-cmd --permanent --zone=public --add-service=http

Utilisez les --list-services avec l'option --permanent pour vérifier vos modifications:

sudo firewall-cmd --permanent --zone=public --list-services

ssh dhcpv6-client

La syntaxe de suppression d'un service est la même que lors de l'ajout d'un service. Utilisez simplement --remove-service au lieu de l'option --add-service :

sudo firewall-cmd --zone=public --remove-service=http --permanent

La commande ci-dessus supprime le service http de la configuration permanente de la zone publique.

Que faire si vous exécutez une application telle que Plex Media Server pour laquelle aucun service approprié n'est disponible?

Dans de telles situations, vous avez deux options. Vous pouvez soit ouvrir les ports appropriés, soit définir un nouveau service FirewallD.

Par exemple, le serveur Plex écoute sur le port 32400 et utilise TCP, pour ouvrir le port dans la zone publique de la session en cours, utilisez l' --add-port= :

sudo firewall-cmd --zone=public --add-port=32400/tcp Les protocoles peuvent être tcp ou udp .

Pour vérifier que le port a été ajouté avec succès, utilisez l'option --list-ports :

sudo firewall-cmd --zone=public --list-ports

32400/tcp

Pour garder le port 32400 ouvert après un redémarrage, ajoutez la règle aux paramètres permanents en exécutant la même commande à l'aide de l'option --permanent .

La syntaxe de suppression d'un port est la même que lors de l'ajout d'un port. Utilisez simplement --remove-port au lieu de l'option --add-port .

sudo firewall-cmd --zone=public --remove-port=32400/tcp

Création d'un nouveau service FirewallD

Comme nous l'avons déjà mentionné, les services par défaut sont stockés dans le /usr/lib/firewalld/services . La façon la plus simple de créer un nouveau service consiste à copier un fichier de service existant dans le répertoire /etc/firewalld/services , qui est l'emplacement des services créés par l'utilisateur et à modifier les paramètres du fichier.

Par exemple, pour créer une définition de service pour le Plex Media Server, nous pouvons utiliser le fichier de service SSH:

sudo cp /usr/lib/firewalld/services/ssh.xml /etc/firewalld/services/plexmediaserver.xml

Ouvrez le fichier plexmediaserver.xml nouvellement créé et modifiez le nom court et la description du service dans le et Mots clés. La balise la plus importante que vous devez modifier est la balise de port , qui définit le numéro de port et le protocole que vous souhaitez ouvrir.

Dans l'exemple suivant, nous ouvrons les ports 1900 UDP et 32400 TCP.

/etc/firewalld/services/plexmediaserver.xml

plexmediaserver Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere. plexmediaserver Plex is a streaming media server that brings all your video, music and photo collections together and stream them to your devices at anytime and from anywhere.

Enregistrez le fichier et rechargez le service FirewallD:

sudo firewall-cmd --reload

Vous pouvez désormais utiliser le service plexmediaserver dans vos zones comme n'importe quel autre service.

Port de transfert avec Firewalld

Pour transférer le trafic d'un port vers un autre port ou une autre adresse, activez d'abord le --add-masquerade pour la zone souhaitée à l'aide du --add-masquerade . Par exemple, pour activer le masquage pour le type de zone external :

sudo firewall-cmd --zone=external --add-masquerade

  • Transférer le trafic d'un port à un autre sur le même serveur

Dans l'exemple suivant, nous transmettons le trafic du port 80 au port 8080 sur le même serveur:

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080

  • Transférer le trafic vers un autre serveur

Dans l'exemple suivant, nous transmettons le trafic du port 80 au port 80 sur un serveur avec IP 10.10.10.2 :

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toaddr=10.10.10.2

  • Transférer le trafic vers un autre serveur sur un port différent

Dans l'exemple suivant, nous transmettons le trafic du port 80 au port 8080 sur un serveur avec IP 10.10.10.2 :

sudo firewall-cmd --zone=external --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=10.10.10.2

Création d'un ensemble de règles avec FirewallD

Dans l'exemple suivant, nous montrerons comment configurer votre pare-feu si vous exécutiez un serveur Web. Nous supposons que votre serveur ne possède qu'une seule interface eth0 et que vous souhaitez autoriser le trafic entrant uniquement sur les ports SSH, HTTP et

  1. Changer la zone par défaut en dmz

    Nous utiliserons la zone dmz (démilitarisée) car par défaut elle n'autorise que le trafic SSH. Pour changer la zone par défaut en dmz et l'affecter à l'interface eth0 , exécutez les commandes suivantes:

    sudo firewall-cmd --set-default-zone=dmz sudo firewall-cmd --zone=dmz --add-interface=eth0

    Ouvrez les ports HTTP et

    Pour ouvrir les ports HTTP et HTTPS, ajoutez des règles de service permanentes à la zone dmz:

    sudo firewall-cmd --permanent --zone=dmz --add-service=http sudo firewall-cmd --permanent --zone=dmz --add-service=https

    Effectuez immédiatement les modifications en rechargeant le pare-feu:

    sudo firewall-cmd --reload

    Vérifiez les modifications

    Pour vérifier les paramètres de configuration de la zone dmz, tapez:

    sudo firewall-cmd --zone=dmz --list-all

    dmz (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: ssh http https ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:

    La sortie ci-dessus nous indique que le dmz est la zone par défaut, est appliqué à l'interface eth0 et les ports ssh (22) http (80) et https (443) sont ouverts.

Conclusion

Vous avez appris à configurer et à gérer le service FirewallD sur votre système CentOS.

Assurez-vous d'autoriser toutes les connexions entrantes qui sont nécessaires au bon fonctionnement de votre système, tout en limitant toutes les connexions inutiles.

firewalld firewall iptables centos security

Configurer et configurer Outlook pour travailler avec un compte de messagerie en langue indienne

Configurer et configurer Outlook pour travailler avec un compte de messagerie en langue indienne

Apprenez comment configurer et configurer Outlook pour qu`il travaille avec les langues indiennes. Les étapes impliquent la configuration de votre compte e-mail en utilisant la configuration IMAP habituelle.

Comment installer et configurer Nextcloud avec Apache sur Centos 7

Comment installer et configurer Nextcloud avec Apache sur Centos 7

Nextcloud est une plate-forme de partage de fichiers et de collaboration open source, auto-hébergée, similaire à Dropbox. Dans ce tutoriel, nous allons vous montrer comment installer et configurer Nextcloud avec Apache sur une machine CentOS 7.

Comment configurer un serveur ftp avec vsftpd sur centos 7

Comment configurer un serveur ftp avec vsftpd sur centos 7

Dans ce tutoriel, nous allons installer vsftpd. Il s'agit d'un serveur FTP stable, sécurisé et rapide. Nous vous montrerons également comment configurer vsftpd pour restreindre les utilisateurs à leur répertoire personnel et crypter toute la transmission avec SSL / TLS.