Pare-feu CentOS 7 : configurer, activer, désactiver et créer des règles

Table des matières

L'une des mesures incluses dans les systèmes d'exploitation pour augmenter les niveaux de sécurité et établir un contrôle sur les connexions entrantes et sortantes du système. Le pare-feu est un élément fondamental de la sécurité de nos équipements quel que soit le système puisqu'il est le gardien qui empêche les contenus inappropriés d'endommager nos équipements. Heureusement dans des systèmes comme Linux, le pare-feu est déjà intégré par défaut et nous offre une multitude d'options pour faire face à ces situations. Plus précisément dans CentOS, le pare-feu intégré s'appelle firewalld et effectue différentes tâches de sécurité dans notre distribution Linux.

Il est très important de savoir tout ce qu'un pare-feu nous offre au niveau de la protection et il est important de savoir que dans CentOS 7 la solution incluse au niveau du pare-feu s'appelle Firewalld qui nous offre les avantages suivants.

Avantages du pare-feuLes avantages du pare-feu CentOS 7 sont :

  • C'est un pare-feu dynamique.
  • Stable.
  • Plusieurs options de configuration.
  • Prend en charge les configurations de pontage IPv4, IPv6 et Ethernet.
  • Nous pouvons définir différentes formes de configuration de Firewalld (continue et en cours d'exécution)
  • Nous analyserons en détail le fonctionnement de Firewalld dans CentOS 7 et nous comprendrons ainsi toute sa grande portée.

1. Termes de base dans Firewalld CentOS 7


Avant de voir comment utiliser Firewalld dans CentOS 7, il y a plusieurs termes auxquels il est important de faire attention car ils seront en permanence dans CentOS 7.

Qu'est-ce qu'une zoneUne zone réseau est une zone dont la fonction est de définir le niveau de confiance qu'aura la connexion réseau.

Ces zones sont gérées par Firewalld dans divers groupes de règles et une zone peut être utilisée par de nombreuses connexions réseau.

Il existe plusieurs types de zone dans Firewalld, à savoir :

TomberC'est le niveau de confiance le plus bas, car tous les paquets entrants sont automatiquement rejetés et seuls les paquets sortants sont activés.

BloquerCe niveau de confiance est similaire à Drop à la différence que les paquets entrants sont rejetés avec les messages icmp-host-prohibited pour IPv4 et icmp6-adm-prohibited pour IPv6.

PubliqueCe niveau de confiance fait référence aux réseaux publics non fiables, il accepte uniquement les connexions de confiance.

ExterneCe type de niveau est utilisé lorsque l'on utilise le Firewall comme passerelle et que son masquage est activé par les routeurs.

DMZCe niveau est utilisé dans les équipements situés dans une zone DMZ (démilitarisée), c'est-à-dire qu'il a un accès public avec restriction au réseau interne. Il accepte uniquement les connexions acceptées.

TravaillerCe niveau est utilisé dans les zones de travail afin que la plupart des ordinateurs du réseau y aient accès.

domicileCe type de niveau est utilisé dans un environnement domestique et la plupart des équipements sont acceptés.

InterneCe type de niveau est utilisé dans les réseaux internes, donc tous les équipements du réseau seront acceptés.

De confianceIl s'agit du niveau le plus élevé et fait confiance à toutes les connexions entrantes.

Chacune de ces zones peut être configurée dans les règles que nous créons à l'aide de Firewalld dans CentOS 7.

2. Comment créer une règle CentOS 7 permanente


Lorsque nous configurons Firewalld dans CentOS 7, nous pouvons créer deux types de règles, permanentes ou immédiates, de cette manière lorsque nous éditons une règle, le changement sera vu automatiquement mais lors de la prochaine connexion, cette règle sera annulée.

Pour éviter cela il faut utiliser le paramètre -permanent afin que la règle soit continue et ne soit pas supprimée à chaque connexion.

 -permanent

3. Comment démarrer le service de pare-feu dans CentOS 7

Étape 1
Il est important qu'avant de créer les règles nécessaires avec Firewalld, nous activions le service Firewalld, pour cela nous entrons dans ce qui suit.

 sudo systemctl démarrer Firewalld.service 
Étape 2
Dans le cas où un message d'erreur s'affiche indiquant que Firewalld n'est pas installé, nous pouvons exécuter la commande suivante pour son installation :
 Sudo miam installer Firewalld -y 
Étape 3
Pour voir l'état du service de pare-feu, nous utiliserons la commande suivante. Nous pouvons voir que son état est en marche. De cette façon, nous avons activé le service et nous sommes en mesure de créer et de modifier les règles de pare-feu dans CentOS 7.
 Firewall-cmd -state

4. Comment voir la zone actuelle de CentOS 7

Étape 1
Nous pouvons visualiser la zone actuelle dans laquelle se trouve notre équipement à l'aide de la commande suivante.

 Pare-feu-cmd --get-default-zone 
Étape 2
Le résultat sera le suivant :

Étape 3
Pour savoir quelles règles sont associées à ladite zone, nous pouvons utiliser la commande suivante :

 Pare-feu-cmd --list-all

5. Comment explorer les différentes zones dans CentOS 7

Étape 1
Nous pouvons vérifier quelles zones sont disponibles à utiliser en entrant la commande suivante :

 Pare-feu-cmd --get-zones 

Étape 2
Il est possible de visualiser la configuration associée à une zone à l'aide du paramètre -zone; par exemple:

 Firewall-cmd --zone = home --list-all 

6. Comment sélectionner des zones pour les interfaces réseau dans CentOS 7

Étape 1
Il est possible que dans une session active on veuille assigner une zone spécifique à une interface réseau de l'ordinateur, pour cela on va assigner la zone home à l'interface eth0 de CentOS 7 :

 sudo Firewall-cmd --zone = home --change-interface = eth0 

Étape 2
On voit que son statut est correct, on peut le valider à l'aide de la commande suivante :

 Firewall-cmd --get-active-zones 

Étape 3
Le problème est que l'interface va revenir à sa zone par défaut si on n'a pas configuré une zone définie au sein de ladite interface, ces configurations d'interface sont logées dans la route suivante :

 /etc/sysconfig/network-scripts 
Étape 4
Les fichiers de ce répertoire sont au format ifcfg-interface. Par exemple, nous pouvons définir la zone de l'interface eth0 à l'aide de la commande suivante :
 sudo nano / etc / sysconfig / network-scripts / ifcfg-eth0 

7. Comment ajuster les règles pour les applications dans CentOS 7

Étape 1
Nous pouvons ajouter des exceptions au pare-feu afin que certaines applications puissent être exécutées directement sans aucun problème, pour voir les services disponibles dans CentOS 7, nous utiliserons la commande suivante :

 Firewall-cmd --get-services 

Étape 2
Pour activer un service dans une zone spécifique, il sera nécessaire d'utiliser le paramètre suivant :

 --add-service = paramètre 
Étape 3
Si nous voulons ajouter le service http dans la zone publique, nous utiliserons la syntaxe suivante :
 sudo Firewall-cmd --zone = public --add-service = http 

Étape 4
Il est possible de voir tous les services de cette zone, y compris celui qui vient d'être ajouté, à l'aide de la commande suivante.

 Firewall-cmd --zone = public --list-services 

Étape 5
Maintenant, si nous voulons que ce service soit permanent, nous devons ajouter, comme nous l'avons mentionné, le paramètre -permanent.

 sudo Firewall-cmd --zone = public --permanent --add-service = http 

De cette façon, le service sera actif à chaque connexion CentOS 7.

8. Comment ouvrir un port pour une zone spécifique dans CentOS 7

Étape 1
L'ouverture d'un port dans le pare-feu nous donne la possibilité d'obtenir un meilleur support pour nos applications et programmes, par exemple, si nous avons une application qui utilise le port 3500 UDP, nous devons l'ajouter à la zone en utilisant le paramètre -add-port comme ceci :

 sudo Firewall-cmd --zone = public --add-port = 3500 / udp 

Étape 2
Pour voir les ports ouverts dans le pare-feu, nous pouvons utiliser la commande suivante.

 Pare-feu-cmd --list-ports 

9. Comment créer votre propre zone dans le pare-feu de CentOS 7


Bien que les zones qui sont par défaut dans le pare-feu CentOS 7 répondent aux besoins d'une organisation, nous pouvons souhaiter créer nos règles pour des services spécifiques.

Étape 1
Nous allons créer une nouvelle zone appelée Solvetic, pour laquelle nous entrerons les éléments suivants :

 sudo Firewall-cmd --permanent --new-zone = Solvetic 

Étape 2
Nous pouvons utiliser la commande suivante pour voir les hotspots dans CentOS 7 :

 sudo Firewall-cmd --permanent --get-zones 

Étape 3
Maintenant, pour que la nouvelle zone soit reflétée, nous devons redémarrer le service Firewalld à l'aide de la commande suivante :

 sudo Firewall-cmd -reload 
Étape 4
Maintenant, si nous voulons ajouter un service à notre nouvelle zone, par exemple, SSH, nous utiliserons la commande suivante :
 udo Firewall-cmd --zone = Solvetic --add-service = ssh 

10. Comment activer le pare-feu pour le démarrage automatique lors de la connexion à CentOS7


Si nous voulons que le service Firewall soit activé dès le démarrage de CentOS 7 et qu'il n'est pas nécessaire de l'activer à tout moment, nous pouvons utiliser la commande suivante :
 sudo systemctl activer le pare-feu 
De cette façon, le pare-feu sera actif à tout moment dans CentOS 7 protégeant tous les paramètres du système.

11. Comment arrêter et désactiver Firewalld dans CentOS 7

Étape 1
Pour désactiver Firewalld dans CentOS 7, nous devons utiliser la commande suivante :

 systemctl désactiver le pare-feu 

Étape 2
Pour arrêter complètement Firewalld, nous utiliserons la commande suivante :

 systemctl arrêter le pare-feu 

12. Comment bloquer Firewalld sur Linux CentOS et Ubuntu


Comme nous le voyons avec le pare-feu, nous risquons également que des logiciels locaux tels que des programmes ou des services puissent apporter des modifications à la configuration de notre pare-feu s'ils sont démarrés en tant que root. Mais en tant que bons administrateurs, nous pouvons contrôler quels programmes peuvent apporter des modifications et lesquels sont couverts par la liste blanche.

Étape 1
Ceci est désactivé par défaut, mais nous pouvons le contrôler avec les commandes suivantes :

 sudo firewall-cmd --lockdown-on (Activer) sudo firewall-cmd --lockdown-off (désactiver)
Étape 2
Une autre méthode pour gérer cette option de manière plus sécurisée consiste à le faire à partir du fichier de configuration de base car firewall-cmd n'existe pas toujours. Par conséquent, nous exécutons ce qui suit :
 sudo nano /etc/firewalld/firewalld.conf
Étape 3
Ici il faut chercher la ligne Lockdown = no et on passe son statut à Lockdown = yes.

AGRANDIR

Étape 4
Il ne vous reste plus qu'à enregistrer les modifications et quitter avec ces touches :
Nous enregistrons les modifications à l'aide de la combinaison de touches suivante :

Ctrl + O

Nous quittons l'éditeur en utilisant :

Ctrl + X

13. Comment désactiver le pare-feu sous Linux CentOS Ubuntu


Les systèmes Linux et leurs différentes distributions intègrent un type de pare-feu appelé UFW qui cherche à protéger l'intégrité de la sécurité du réseau, contrôlant ainsi les connexions et établissant si elles sont sécurisées ou non. Comme nous le voyons, au sein de CentOS, ce pare-feu s'appelle firewalld et sa mission est les niveaux de confiance et les zones réseau selon qu'ils sont ou non nocifs pour le système. Ce pare-feu est intégré à la fois à CentOS et à RedHat.

Par défaut, ce firewalld est désactivé et dans Solvetic, nous vous recommandons de l'activer pour contrôler quelles connexions sont sécurisées et lesquelles ne le sont pas. Cependant, il y a des moments où nous devons effectuer des tâches ou des tests où le pare-feu l'empêche et c'est pourquoi nous devons le désactiver temporairement. Pour activer ou désactiver le pare-feu, vous pouvez procéder comme suit :

14. Comment installer et configurer le pare-feu CSF sur CentOS 7 Linux


Dans la gestion du pare-feu au sein de CentOS, nous pouvons parler du pare-feu CSF. Il s'agit d'un élément de sécurité de base dans la gestion des serveurs Web. Sa mission principale est d'arrêter le trafic sombre de contenu malveillant qui peut entrer dans le serveur. Ce pare-feu agit comme un mur contre les intrus ou les attaques grossières qui tentent d'endommager nos systèmes.

Le Firewall CSF nous informe en temps réel et par email de tout ce qui se passe sur nos serveurs. Grâce à ces avis, nous pourrons agir rapidement et atténuer les problèmes qui surviennent. Ce pare-feu CSF effectue une analyse exhaustive des paquets SPI tout en exécutant des tâches de sécurité comme celles que nous avons mentionnées.

Afin d'installer et de configurer le pare-feu CSF dans CentOS 7, nous allons procéder comme suit.

De cette façon, nous pouvons gérer toutes les valeurs Firewalld dans CentOS 7 pour établir des zones en fonction des besoins de l'entreprise. La sécurité est très importante et plus encore si l'on parle d'un environnement de travail où l'information est beaucoup plus délicate.

wave wave wave wave wave