Comment effectuer la configuration du pare-feu dans Centos 8

Comment effectuer la configuration du pare-feu dans Centos 8

Pour commencer avec la configuration du pare-feu dans n'importe quel système d'exploitation, nous devons d'abord comprendre ce qu'est un pare-feu et ce qu'il fait. Alors apprenons d'abord sur le pare-feu.

Qu'est-ce qu'un pare-feu?

Un pare-feu, en mots simples, est un système utilisé pour la sécurité du réseau en surveillant, en contrôlant et en filtrant le trafic réseau (entrant ou sortant). Nous pouvons définir des règles de sécurité si nous voulons autoriser ou bloquer un trafic spécifique. Ainsi, pour la sécurité du système, un pare-feu bien configuré est essentiel.

Firewalld: un système de gestion du pare-feu

Si nous parlons de la configuration du pare-feu dans le système d'exploitation CentOS 8, CentOS 8 est livré avec un service de pare-feu appelé pare-feu. Le pare-feu Daemon est un excellent logiciel de gestion du pare-feu pour gérer et contrôler le trafic réseau du système. Il est utilisé par plusieurs grandes distributions Linux pour effectuer la configuration du pare-feu et en tant que système de filtrage des paquets réseau.

Ce message apprendra tout sur pare-feu et vous montrer comment configurer et faire la configuration du pare-feu dans le système d'exploitation CentOS 8. Nous allons également essayer quelques commandes de base et effectuer certaines configurations de pare-feu de base pour gérer le trafic réseau. Commençons par la compréhension de la base Pare-feu concepts.

Concepts de base du pare-feu

Pare-feu Daemon utilise le pare-feu-cmd derrière. Le pare-feu-CMD est l'utilitaire ou le client de la ligne de commande pare-feu démon. Discutons et comprenons certains concepts de cet outil.

Pour contrôler le trafic, pare-feu utilise des zones et des services. Donc, comprendre et commencer à travailler avec pare-feu, vous devez d'abord comprendre dans quelle zones et services pare-feu sont.

Zones

Les zones font partie du réseau où nous définissons certaines règles ou définissons des exigences de sécurité spécifiques pour gérer et contrôler le flux de trafic sous les règles définies de la zone. Nous déclarons d'abord les règles d'une zone, puis une interface réseau lui est attribuée, sur laquelle les règles de sécurité sont appliquées.

Nous pouvons définir ou modifier n'importe quelle règle en fonction de l'environnement réseau. Pour les réseaux publics, nous pouvons définir des règles strictes pour notre configuration de pare-feu. Alors que pour un réseau domestique, vous n'avez pas besoin de définir des règles strictes, certaines règles de base fonctionneront bien.

Il y a des zones prédéfinies par le pare-feu Basé sur le niveau de confiance. Il vaut donc mieux les comprendre et les utiliser en fonction du niveau de sécurité que nous voulons définir.

  • goutte: C'est la zone avec le niveau de sécurité le plus bas. Dans cette zone, le trafic sortant passera et le trafic entrant ne sera pas autorisé à passer.
  • bloc: Cette zone est presque la même que la zone de chute ci-dessus, mais nous recevrons une notification si une connexion est abandonnée dans cette zone.
  • public: Cette zone s'adresse aux réseaux publics non fiables, où vous souhaitez limiter les connexions entrantes en fonction du scénario de cas.
  • externe: Cette zone est utilisée pour les réseaux externes lorsque vous utilisez le pare-feu comme passerelle. Il est utilisé pour la partie externe de la passerelle au lieu de la partie intérieure.
  • interne: En face de la zone externe, cette zone est destinée aux réseaux internes lorsque vous utilisez le pare-feu comme passerelle. Il est opposé à la zone externe et utilisé sur la partie interne de la passerelle.
  • dmz: Ce nom de zone est dérivé de la zone démilitarisée, où le système aura un accès minimal au reste du réseau. Cette zone est utilisée explicitement pour les ordinateurs dans un environnement réseau moins peuplé.
  • travail: Cette zone est utilisée pour que les systèmes d'environnement de travail aient presque tous les systèmes de confiance.
  • maison: Cette zone est utilisée pour les réseaux domestiques où la plupart des systèmes sont dignes de confiance.
  • de confiance: Cette zone est avec le plus haut niveau de sécurité. Cette zone est utilisée où nous pouvons faire confiance à chaque système.

Il n'est pas obligatoire de suivre et d'utiliser les zones car ils sont prédéfinis. Nous pouvons modifier les règles de la zone et lui attribuer une interface réseau plus tard.

Paramètres de règles Firewalld

Il peut y avoir deux types de set de règles dans le pare-feu:

  • Durée
  • Permanent

Lorsque nous ajoutons ou modifions un ensemble de règles, il ne s'applique qu'au pare-feu en cours d'exécution. Après le rechargement du service de Firewalld ou du redémarrage du système, le service Firewalld ne chargera que les configurations permanentes. Les ensembles de règles récemment ajoutés ou modifiés ne seront pas appliqués car les modifications que nous apportons au monde-feu ne sont utilisées qu'à la configuration d'exécution.

Pour charger les ensembles de règles récemment ajoutés ou modifiés sur le redémarrage du système ou le rechargement du service Firewalld, nous devons les ajouter aux configurations permanentes de tout le monde.

Pour ajouter les ensembles de règles et les conserver dans la configuration en permanence, utilisez simplement l'indicateur-permanent sur la commande:

$ sudo Firewall-CMD - Permanent [Options]

Après avoir ajouté les ensembles de règles aux configurations permanentes, rechargez le pare-feu-CMD à l'aide de la commande:

$ sudo Firewall-CMD - Reload

D'un autre côté, si vous souhaitez ajouter les ensembles de règles d'exécution aux paramètres permanents, utilisez la commande tapée ci-dessous:

$ sudo Firewall-CMD - Runtime-to-permanent

En utilisant la commande ci-dessus, tous les ensembles de règles d'exécution seront ajoutés aux paramètres de pare-feu permanent.

Installation et permettant un pare-feu

Pare-feu est préinstallé sur la dernière version de Centos 8. Cependant, pour une raison quelconque, il est cassé ou non installé, vous pouvez l'installer en utilisant la commande:

$ sudo dnf installer le pare-feu

Une fois pare-feu le démon est installé, démarrez le pare-feu Service s'il n'est pas activé par défaut.

Pour démarrer le pare-feu Service, exécutez la commande tapée ci-dessous:

$ sudo systemctl start Firewalld


Il vaut mieux si vous démarrez automatiquement sur le démarrage, et que vous n'avez pas à le démarrer encore et encore.

Pour activer le pare-feu démon, exécutez la commande ci-dessous:

$ sudo systemctl activer le pare-feu


Pour vérifier l'état du service Firewall-CMD, exécutez la commande ci-dessous:

$ sudo Firewall-CMD - State


Vous pouvez voir dans la sortie; Le pare-feu fonctionne parfaitement bien.

Règles de pare-feu par défaut

Explorons certaines des règles de pare-feu par défaut pour les comprendre et les modifier si nécessaire entièrement.

Pour connaître la zone sélectionnée, exécutez la commande Firewall-CMD avec l'indicateur -get-default-zone comme indiqué ci-dessous:

$ Firewall-CMD --get-default-zone


Il affichera la zone active par défaut qui contrôle le trafic entrant et sortant pour l'interface.

La zone par défaut restera la seule zone active tant que nous ne donnons pas pare-feu Toutes les commandes pour modifier la zone par défaut.

Nous pouvons obtenir les zones actives en exécutant la commande Firewall-CMD avec l'indicateur -get-active-zones comme indiqué ci-dessous:

$ Firewall-CMD - Ont-active-Zones


Vous pouvez voir dans la sortie que le pare-feu contrôle notre interface réseau, et les ensembles de règles de la zone publique seront appliqués sur l'interface réseau.

Si vous souhaitez définir des ensembles de règles pour la zone publique, exécutez la commande tapée ci-dessous:

$ sudo Firewall-Cmd --list-all


En regardant la sortie, vous pouvez voir que cette zone publique est la zone par défaut et une zone active, et notre interface réseau est connectée à cette zone.

Changer la zone de l'interface réseau

Puisque nous pouvons changer les zones et modifier la zone d'interface du réseau, les zones changeantes sont utiles lorsque nous avons plus d'une interface sur notre machine.

Pour modifier la zone de l'interface réseau, vous pouvez utiliser la commande Firewall-CMD, fournir le nom de zone à l'option -zone et le nom de l'interface réseau à l'option -change-interface:

$ sudo Firewall-Cmd --zone = work --change-interface = eth1


Pour vérifier que la zone est modifiée ou non, exécutez la commande Firewall-CMD avec l'option de zones acactives -get:

$ sudo Firewall-CMD --get-active-zones


Vous pouvez voir que la zone de l'interface est modifiée avec succès comme nous l'avons souhaité.

Modifier la zone par défaut

Dans le cas où vous souhaitez modifier la zone par défaut, vous pouvez utiliser l'option -Set-Default-Zone et lui fournir le nom de zone que vous souhaitez définir avec la commande Firewall-CMD:

Par exemple, pour changer la zone par défaut vers la maison au lieu de la zone publique:

$ sudo Firewall-Cmd --set-default-zone = Home


Pour vérifier, exécutez la commande ci-dessous pour obtenir le nom de la zone par défaut:

$ sudo Firewall-CMD --get-default-zone


Très bien, après avoir joué avec les zones et les interfaces réseau, apprenons à définir des règles pour les applications dans le pare-feu du système d'exploitation CentOS 8.

Définition des règles pour les applications

Nous pouvons configurer le pare-feu et définir des règles pour les applications, alors apprenons à ajouter un service à n'importe quelle zone.

Ajouter un service à une zone

Nous devons souvent ajouter des services à la zone dans laquelle nous travaillons actuellement.

Nous pouvons obtenir tous les services en utilisant l'option -get-Services dans la commande Firewall-CMD:

$ Firewall-CMD - Great-Services

Pour obtenir plus de détails sur n'importe quel service, nous pouvons consulter le .Fichier XML de ce service spécifique. Le fichier de service est placé dans le répertoire / usr / lib / firewalld / services.

Par exemple, si nous jetons un œil au service HTTP, cela ressemblera à ceci:

$ cat / usr / lib / foyerald / services / http.xml


Pour activer ou ajouter le service à n'importe quelle zone, nous pouvons utiliser l'option -Add-Service et lui fournir le nom du service.

Si nous ne fournissons pas l'option -zone, le service sera inclus dans la zone par défaut.

Par exemple, si nous voulons ajouter un service HTTP à la zone par défaut, la commande ira comme ceci:

$ sudo Firewall-CMD --Add-Service = Http


Contrairement à cela, si vous souhaitez ajouter un service à une zone spécifique, mentionnez le nom de zone à l'option -zone:

$ sudo Firewall-Cmd --zone = public --add-service = http


Pour vérifier l'ajout de service à la zone publique, vous pouvez utiliser l'option -List-Services dans la commande Firewall-CMD:

$ sudo Firewall-Cmd --zone = public - list-Services


Dans la sortie ci-dessus, vous pouvez voir que les services ajoutés dans la zone publique sont affichés.

Cependant, le service HTTP que nous venons d'ajouter dans la zone publique est dans les configurations d'exécution du pare-feu. Ainsi, si vous souhaitez ajouter le service dans la configuration permanente, vous pouvez le faire en fournissant un drapeau permanent supplémentaire tout en ajoutant le service:

$ sudo Firewall-cmd --zone = public --add-service = http --permanent


Mais, si vous souhaitez ajouter toutes les configurations d'exécution dans les configurations permanentes du pare-feu, exécutez la commande Firewall-CMD avec l'option -runtime-to-permanente:

$ sudo Firewall-CMD - Runtime-to-permanent

Toutes les configurations d'exécution recherchées ou indésirables seront ajoutées aux configurations permanentes en exécutant la commande ci-dessus. Il est donc préférable d'utiliser l'indicateur-permanent si vous souhaitez ajouter une configuration aux configurations permanentes.

Maintenant, pour vérifier les modifications, listez les services ajoutés aux configurations permanentes à l'aide de l'option -permanent et -List-Services dans la commande Firewall-CMD:

$ sudo Firewall-Cmd --zone = public - list-Services - Permanent

Comment ouvrir des adresses IP et des ports sur le pare-feu

À l'aide du pare-feu, nous pouvons permettre à toutes ou à certaines adresses IP spécifiques de passer et d'ouvrir certains ports spécifiques selon nos exigences.

Autoriser une IP source

Pour permettre le flux de trafic à partir d'une adresse IP spécifique, vous pouvez autoriser et ajouter l'adresse IP de la source en mentionnant d'abord la zone et en utilisant l'option -add-source:

$ sudo Firewall-Cmd --zone = public --add-source = 192.168.1.dix


Si vous souhaitez ajouter de façon permanente l'adresse IP source à la configuration du pare-feu, exécutez la commande de pare-feu avec -runtime-to-permanent:

$ sudo Firewall-CMD - Runtime-to-permanent


Pour vérifier, vous pouvez également répertorier les sources en utilisant la commande ci-dessous:

$ sudo Firewall-Cmd --zone = public - list-sourceces


Dans la commande ci-dessus, assurez-vous de mentionner la zone dont vous souhaitez énumérer les sources.

Si pour une raison quelconque, vous souhaitez supprimer une adresse IP source, la commande pour supprimer l'adresse IP source irait comme ceci:

$ sudo Firewall-Cmd --zone = public --Remove-Source = 192.168.1.dix

Ouvrez un port source

Pour ouvrir un port, nous devons d'abord mentionner la zone, puis nous pouvons utiliser l'option -Add-Port pour ouvrir le port:

$ sudo Firewall-Cmd --zone = public --add-port = 8080 / tcp

Dans la commande ci-dessus, / TCP est le protocole; Vous pouvez fournir le protocole en fonction de vos besoins, comme UDP, SCTP, etc.

Pour vérifier, vous pouvez également répertorier les ports en utilisant la commande ci-dessous:

$ sudo Firewall-Cmd --zone = public - List-ports

Dans la commande ci-dessus, assurez-vous de mentionner la zone dont vous souhaitez lister les ports.

Pour garder le port ouvert et ajouter ces configurations à la configuration permanente, utilise l'indicateur-permanent à la fin de la commande ci-dessus ou exécutez la commande ci-dessous pour ajouter toute la configuration d'exécution à la configuration permanente du pare-feu:

$ sudo Firewall-CMD - Runtime-to-permanent

Si pour une raison quelconque, vous souhaitez supprimer un port, la commande pour supprimer le port irait comme ceci:

$ sudo Firewall-Cmd --zone = public --Remove-Port = 8080 / TCP

Conclusion

Dans cet article détaillé et profond, vous avez appris ce qu'est un pare-feu, les concepts de base d'un pare-feu, quelles zones sont et pare-feu Paramètres de règles. Vous avez appris à installer et à activer le pare-feu Service sur le système d'exploitation CentOS 8.

Dans la configuration du pare-feu, vous avez appris les règles de pare-feu par défaut, comment énumérer les zones par défaut, les zones actives et toutes les zones de pare-feu-CMD. De plus, ce message contient une brève explication sur la façon de modifier la zone de l'interface réseau, comment définir des règles pour des applications comme l'ajout d'un service à une zone, ouvrant des adresses IP et des ports sur le pare-feu.

Après avoir lu cet article, vous gérerez le flux de trafic vers votre serveur et modifierez les ensembles de règles de la zone car cet article a une description détaillée de la façon d'administrer, de configurer et de gérer le pare-feu sur le système d'exploitation CENTOS 8.

Si vous souhaitez creuser plus et en savoir plus sur le pare-feu, n'hésitez pas à visiter la documentation officielle de Pare-feu.