Yojik.net/site/Tutoriels/tutoraspi/Firewall/index.html

<!DOCTYPE html>
<!--[if IE 8]><html class="no-js lt-ie9" lang="en" > <![endif]-->
<!--[if gt IE 8]><!--> <html class="no-js" lang="en" > <!--<![endif]-->
<head>
  <meta charset="utf-8">
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <meta name="viewport" content="width=device-width, initial-scale=1.0">
  
  
  
  <link rel="shortcut icon" href="../../../img/favicon.ico">
  <title>Installation d'un pare-feux - Les Tutoriels du Yojik</title>
  <link rel="stylesheet" href="../../../css/theme.css" />
  <link rel="stylesheet" href="../../../css/theme_extra.css" />
  <link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/styles/github.min.css" />
  
  <script>
    // Current page data
    var mkdocs_page_name = "Installation d'un pare-feux";
    var mkdocs_page_input_path = "Tutoriels/tutoraspi/Firewall.md";
    var mkdocs_page_url = null;
  </script>
  
  <script src="../../../js/jquery-2.1.1.min.js" defer></script>
  <script src="../../../js/modernizr-2.8.3.min.js" defer></script>
  <script src="https://cdnjs.cloudflare.com/ajax/libs/highlight.js/9.12.0/highlight.min.js"></script>
  <script>hljs.initHighlightingOnLoad();</script> 
  
</head>

<body class="wy-body-for-nav" role="document">

  <div class="wy-grid-for-nav">

    
    <nav data-toggle="wy-nav-shift" class="wy-nav-side stickynav">
    <div class="wy-side-scroll">
      <div class="wy-side-nav-search">
        <a href="../../.." class="icon icon-home"> Les Tutoriels du Yojik</a>
        <div role="search">
  <form id ="rtd-search-form" class="wy-form" action="../../../search.html" method="get">
    <input type="text" name="q" placeholder="Search docs" title="Type search term here" />
  </form>
</div>
      </div>

      <div class="wy-menu wy-menu-vertical" data-spy="affix" role="navigation" aria-label="main navigation">
                <p class="caption"><span class="caption-text">Home</span></p>
                <ul>
                    <li class="toctree-l1"><a class="reference internal" href="../../..">Page d'accueil</a>
                    </li>
                </ul>
                <p class="caption"><span class="caption-text">Tutoriels</span></p>
                <ul class="current">
                    <li class="toctree-l1"><a class="reference internal" href="../../tutos/">Introduction</a>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Stretch (obsolète)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutostretch/tutostretch/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="#">Installation</a>
    <ul>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-de-base/">Installation du système de base</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Premi%C3%A8re-Etape-S%C3%A9curisation/">Première étapes de sécurisation du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Configuration-R%C3%A9seau/">Configuration du réseau</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Temps/">Installation d'un serveur de temps</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Parre-Feu/">Installation d'un pare-feu</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Fail2ban/">Contrer les attaques de brute-force avec fail2ban</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Courrier-Basique/">Installation d'un serveur de courrier basique</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-DNS/">Installation du serveur DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Serveur-Web/">Installation d'un serveur web</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Dovecot-Authentification/">Installation de dovecot et de l'authentification</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Installation-Certificats-Letsencrypt.md)">Installation des certificats letsencrypt</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/courrier-SPF-DKIM-OPENDMARC.md">Ajout des enregistrements **spf**, **DKIM**, **DMARC** au fichier de zone DNS</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Courrier-Comptes-Virtuels/">Ajout des comptes émail virtuels</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Surveillance-Serveur/">Installation de programmes de surveillance du serveur</a>
                </li>
                <li class="toctree-l3"><a class="reference internal" href="../../tutostretch/Installation-Webmail/">Installation d'un webmail (rainloop)</a>
                </li>
                <li class="toctree-l3"><a class="" href="../../tutostretch/Sécurisation-Serveur-Web">Sécurisation d'un serveur WEB</a>
                </li>
    </ul>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1"><a class="reference internal" href="#">Installation d'un serveur sécurisé, version Debian/Buster (en cours d'écriture)</a>
    <ul>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/1-tutobuster/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/2-Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/3-ovh/">Démarrage sur serveur OVH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/4-Plan/">Plan d'ensemble</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../../tutobuster/5-Premi%C3%A8re-Etape-S%C3%A9curisation/">Premières étapes de sécurisation du serveur</a>
                </li>
    </ul>
                    </li>
                    <li class="toctree-l1 current"><a class="reference internal current" href="#">Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI</a>
    <ul class="current">
                <li class="toctree-l2"><a class="reference internal" href="../tutoraspi/">Présentation</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-de-base/">Installation de base</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Premier-d%C3%A9marrage/">Premier démarrage</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Etat-des-lieux/">État des lieux</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../S%C3%A9curisation-SSH/">Sécurisation SSH</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../R%C3%A9seau/">Réseau (des IPs fixes)</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Knot/">Installation de Knot-resolver</a>
                </li>
                <li class="toctree-l2 current"><a class="reference internal current" href="./">Installation d'un pare-feux</a>
    <ul class="current">
    <li class="toctree-l3"><a class="reference internal" href="#installation-de-iptables">Installation de IPtables</a>
    </li>
    <li class="toctree-l3"><a class="reference internal" href="#test">Test</a>
        <ul>
    <li class="toctree-l4"><a class="reference internal" href="#la-notion-de-zones">La notion de zones</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#les-differentes-zones">Les différentes zones</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#les-fichiers-de-configuration">Les fichiers de configuration</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#quelques-commandes">Quelques commandes</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#premiere-etape-de-configuration">Première étape de configuration</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#les-services">Les services</a>
    </li>
    <li class="toctree-l4"><a class="reference internal" href="#etat-des-lieux">Etat des lieux</a>
    </li>
        </ul>
    </li>
    </ul>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Fail2ban/">Contrer les attaques de force brute</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Logwatch/">Surveillance du serveur</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Installation-courrier-basique/">Installation d'un serveur de courriers basique</a>
                </li>
                <li class="toctree-l2"><a class="reference internal" href="../Annexe/">Annexe</a>
                </li>
    </ul>
                    </li>
                </ul>
      </div>
    </div>
    </nav>

    <section data-toggle="wy-nav-shift" class="wy-nav-content-wrap">

      
      <nav class="wy-nav-top" role="navigation" aria-label="top navigation">
        <i data-toggle="wy-nav-top" class="fa fa-bars"></i>
        <a href="../../..">Les Tutoriels du Yojik</a>
      </nav>

      
      <div class="wy-nav-content">
        <div class="rst-content">
          <div role="navigation" aria-label="breadcrumbs navigation">
  <ul class="wy-breadcrumbs">
    <li><a href="../../..">Docs</a> &raquo;</li>
    
      
        
          <li>Installation d'un serveur sécurisé, version Debian/Buster sur RaspberryPI &raquo;</li>
        
      
        
          <li>Tutoriels &raquo;</li>
        
      
    
    <li>Installation d'un pare-feux</li>
    <li class="wy-breadcrumbs-aside">
      
    </li>
  </ul>
  
  <hr/>
</div>
          <div role="main">
            <div class="section">
              
                <h1 id="le-pare-feux">Le pare-feux</h1>
<p>Il nous faut installer un pare-feux sur notre raspi pour éviter les intrusions.</p>
<p>Nous allons limiter les machines susceptibles de se connecter à celles de notre réseau local, et également limiter les ports accessibles sur notre réseau.</p>
<p>Nous allons utiliser IPtables et Firewalld.</p>
<p>J'aurai préféré utiliser <strong>nftables</strong> qui est le successeur de <strong>iptables</strong>, mais j'ai eu quelques soucis à l'utilisation. Peut-être est-ce pour ça que la distribution RaspiOS a configuré <strong>firewalld</strong> avec <strong>IPtables</strong>...</p>
<h2 id="installation-de-iptables">Installation de IPtables</h2>
<p>IPtables est installé par défaut: rien à faire ici.</p>
<h2 id="test">Test</h2>
<p>Si on tape: </p>
<pre><code>pi@raspberrypi:~ $ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
pi@raspberrypi:~ $
</code></pre>
<p>On voit que c'est iptables qui a été chosi par RaspiOS.</p>
<p>D'abord, il faut comprendre comment fonctionne Firewalld. Je me suis basé sur les sites suivants:</p>
<ul>
<li><a href="https://lwn.net/Articles/484506/">lw.net</a></li>
<li><a href="https://www.certdepot.net/rhel7-get-started-firewalld/">How to get started with Firewalld</a></li>
<li><a href="https://www.tutorialspoint.com/network_security/network_security_firewalls.htm">tutorial points</a></li>
<li><a href="https://firewalld.org/documentation/zone/predefined-zones.html">la documentation officielle</a></li>
<li><a href="https://linuxconfig.org/introduction-to-firewalld-and-firewall-cmd-command-on-linux">introduction-to-firewalld</a></li>
<li><a href="https://doc.fedora-fr.org/wiki/Parefeu_-_firewall_-_FirewallD">La documentation de Fedora</a></li>
<li><a href="https://www.it-connect.fr/centos-7-utilisation-et-configuration-de-firewalld/">it connect</a></li>
</ul>
<p>La documentation de Fedora est la plus compréhensible.</p>
<h3 id="la-notion-de-zones">La notion de zones</h3>
<p>Firewalld défnit 9 zones qui sont en fait des règles de pare-feux par défaut. Une zone va par exemple bloquer toute entrée sauf SSH, une autre permettre l'accès en HTTP et HTTPS. Ces zones correspondent à des utilisations types, comme un serveur dans une DMZ, ou un serveur <strong>chez soi</strong>, un serveur public etc.</p>
<p>On peut imaginer une zone <strong>émail</strong> qui ne laisserait passer que les ports spécifiques à l'émail et DNS bien sûr.</p>
<p>Il est possible de créer des zones personnelles.</p>
<p>Un certain nombre de zones sont prédéfinies. Voyons leur contenu.</p>
<h3 id="les-differentes-zones">Les différentes zones</h3>
<p>Les différentes zones sont:</p>
<ul>
<li>trusted: non modifiable</li>
<li>home: modifiable</li>
<li>work: modifiable</li>
<li>internal: modifiable</li>
<li>dmz: modifiable</li>
<li>public: modifiable</li>
<li>external: modifiable</li>
<li>block: non modifiable</li>
<li>drop: non modifiable</li>
</ul>
<p>Une très bonne présentation des zones est ici: <a href="https://www.it-connect.fr/centos-7-utilisation-et-configuration-de-firewalld/">it connect</a></p>
<h3 id="les-fichiers-de-configuration">Les fichiers de configuration</h3>
<p>Ils ont situés à 2 endroits:</p>
<ul>
<li>/usr/lib/firewalld/ : il ne faut pas toucher au contenu de ce répertoire</li>
<li>/etc/firewalld/: c'est là que nous mettrons notre configuration, en copiant les fichiers de /usr/lib/firewalld si besoin est.</li>
</ul>
<p>Dans le répertoire /etc/firewalld, le fichier firewalld.conf permet de configurer la zone par défaut, ainsi que le backtend (iptables, nftables et autre).</p>
<p>La zone par défaut est <strong>public</strong>: pas de confiance, mais possibilité d'ajuster au cas par cas les règles. Le seul accès auorisé est l'accès <strong>ssh</strong> et <strong>dhcp</strong>.</p>
<h3 id="quelques-commandes">Quelques commandes</h3>
<ul>
<li>Démarrer Firewalld:<strong>$ sudo systemctl start firewalld</strong></li>
<li>Stopper Fireawalld:<strong>$ sudo systemctl stop firewalld</strong></li>
<li>Tester le fonctionnement de Firewalld:<strong>$ sudo firewall-cmd --state</strong></li>
<li>Connaître les zones prédéfinies: <strong>$ sudo firewall-cmd --get-zones</strong></li>
<li>Connaître la zone par défaut:<strong>$ sudo firewall-cmd --get-default-zone</strong></li>
<li>Connaître la zone active:<strong>$ sudo firewall-cmd --get-active-zones</strong></li>
</ul>
<p>Exemples:</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --state
running
pi@piras:~ $
</code></pre>
<p>Le service tourne.</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --get-default-zone
public
pi@piras:~ $
</code></pre>
<p>La zone par défaut est: public</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --get-zones
block dmz drop external home internal public trusted work
pi@piras:~ $
</code></pre>
<p>Les zones prédéfinies sont: <strong>block dmz drop external home internal public trusted work</strong></p>
<p>Quelle est la zone active: aucune!</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --get-active-zones
pi@piras:~ $
</code></pre>
<p>Nous pouvons vérifier la zone en fonctionnement et l'interface réseau qui y est attachée:</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --list-all
public
target: default
icmp-block-inversion: no
interfaces: 
sources: 
services: dhcpv6-client ssh
ports: 
protocols: 
masquerade: no
forward-ports: 
source-ports: 
icmp-blocks: 
rich rules:

pi@piras:~ $
</code></pre>
<p>Aucune interface n'est attachée. Les seuls services autorisé sont: dhcp et ssh.</p>
<h3 id="premiere-etape-de-configuration">Première étape de configuration</h3>
<p>Nous allons utiliser les commandes en ligne de commande pour configurer Firewalld, mais il existe une GUI pour le faire graphiquement. Référez-vous aux liens que j'ai indiqués au-dessus.</p>
<ul>
<li>
<p>Définition de la zone par défaut: (public)</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --set-default-zone=public
Warning: ZONE_ALREADY_SET: public
success
pi@piras:~ $
</code></pre>
</li>
<li>
<p>Attribution de l'interface réseau à cette zone:</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --zone=public --change-interface=eth0
success
pi@piras:~ $
</code></pre>
<p>Attention, ce changement n'est pas permanent! (voir ci-dessous)</p>
</li>
<li>
<p>Test:</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources:
services: dhcpv6-client ssh
ports:
protocols:
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:

pi@piras:~ $
</code></pre>
</li>
</ul>
<p>Nous voyons que l'interface <strong>eth0</strong> a bien été attribuée à la zone <strong>public</strong>.</p>
<h3 id="les-services">Les services</h3>
<p>Il est possible de configurer les services accessibles (ou pas) attribués à la zone active.</p>
<p>Pour connaître les différents services disponibles, tapez la commande suivante:</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --get-services
RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine cockpit condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
pi@piras:~ $
</code></pre>
<p>Chaque détail des services est détaillé dans un fichier xml dans /usr/lib/firewalld.</p>
<p>Voyons quels services sont acuellement activés sur notre raspi:</p>
<pre><code>pi@piras:~ $ ss -t -u -l -a
Netid          State           Recv-Q          Send-Q                     Local Address:Port                          Peer Address:Port           
udp            UNCONN          0               0                                0.0.0.0:55853                              0.0.0.0:*              
udp            UNCONN          0               0                              127.0.0.1:domain                             0.0.0.0:*              
udp            UNCONN          0               0                                0.0.0.0:bootpc                             0.0.0.0:*              
udp            UNCONN          0               0                                0.0.0.0:mdns                               0.0.0.0:*              
udp            UNCONN          0               0                                  [::1]:domain                                   *:*              
udp            UNCONN          0               0                                      *:59578                                    *:*              
udp            UNCONN          0               0                                      *:mdns                                     *:*              
tcp            LISTEN          0               511                            127.0.0.1:domain-s                           0.0.0.0:*              
tcp            LISTEN          0               511                            127.0.0.1:domain                             0.0.0.0:*              
tcp            LISTEN          0               128                              0.0.0.0:ssh                                0.0.0.0:*              
tcp            ESTAB           0               0                        192.168.111.170:ssh                        192.168.111.150:59092          
tcp            LISTEN          0               511                                [::1]:domain-s                              [::]:*              
tcp            LISTEN          0               511                                [::1]:domain                                [::]:*              
tcp            LISTEN          0               128                                 [::]:ssh                                   [::]:*              
pi@piras:~ $
</code></pre>
<p>Nous voyons notre connexion <strong>ssh</strong> établie entre mon desktop en ip 192.168.111.150 et piras 192.168.111.170.</p>
<p>Notre raspi écoute également le port 22 sur toutes les interfaces présentes.</p>
<p>Liste des ports en écoute (TCP):</p>
<pre><code>pi@piras:~ $ ss -ltn
State              Recv-Q             Send-Q                           Local Address:Port                           Peer Address:Port             
LISTEN             0                  511                                  127.0.0.1:853                                 0.0.0.0:*                
LISTEN             0                  511                                  127.0.0.1:53                                  0.0.0.0:*                
LISTEN             0                  128                                    0.0.0.0:22                                  0.0.0.0:*                
LISTEN             0                  511                                      [::1]:853                                    [::]:*                
LISTEN             0                  511                                      [::1]:53                                     [::]:*                
LISTEN             0                  128                                       [::]:22                                     [::]:*                
pi@piras:~ $
</code></pre>
<p>les ports 22 (ssh) , 53 (dns) , 853 (dns) sont à l'écoute en IPV4 et IPV6.</p>
<p>Liste des ports en écoute (UDP):</p>
<pre><code>pi@piras:~ $ ss -lun
State              Recv-Q             Send-Q                          Local Address:Port                            Peer Address:Port             
UNCONN             0                  0                                     0.0.0.0:55853                                0.0.0.0:*                
UNCONN             0                  0                                   127.0.0.1:53                                   0.0.0.0:*                
UNCONN             0                  0                                     0.0.0.0:68                                   0.0.0.0:*                
UNCONN             0                  0                                     0.0.0.0:5353                                 0.0.0.0:*                
UNCONN             0                  0                                       [::1]:53                                         *:*                
UNCONN             0                  0                                           *:59578                                      *:*                
UNCONN             0                  0                                           *:5353                                       *:*                
pi@piras:~ $
</code></pre>
<h3 id="etat-des-lieux">Etat des lieux</h3>
<p>Vérifions le fonctionnement de  Firewalld. Souvenez-vous qu'il était configuré pour fonctionner avec Iptables.</p>
<p>Vérifions les règles établies:</p>
<pre><code>pi@piras:~ $ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
INPUT_direct  all  --  anywhere             anywhere            
INPUT_ZONES_SOURCE  all  --  anywhere             anywhere            
INPUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
FORWARD_direct  all  --  anywhere             anywhere            
FORWARD_IN_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_IN_ZONES  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES_SOURCE  all  --  anywhere             anywhere            
FORWARD_OUT_ZONES  all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             ctstate INVALID
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
OUTPUT_direct  all  --  anywhere             anywhere

Chain INPUT_direct (1 references)
target     prot opt source               destination

Chain INPUT_ZONES_SOURCE (1 references)
target     prot opt source               destination

Chain INPUT_ZONES (1 references)
target     prot opt source               destination         
IN_public  all  --  anywhere             anywhere            [goto] 
IN_public  all  --  anywhere             anywhere            [goto]

Chain FORWARD_direct (1 references)
target     prot opt source               destination

Chain FORWARD_IN_ZONES_SOURCE (1 references)
target     prot opt source               destination

Chain FORWARD_IN_ZONES (1 references)
target     prot opt source               destination         
FWDI_public  all  --  anywhere             anywhere            [goto] 
FWDI_public  all  --  anywhere             anywhere            [goto]

Chain FORWARD_OUT_ZONES_SOURCE (1 references)
target     prot opt source               destination

Chain FORWARD_OUT_ZONES (1 references)
target     prot opt source               destination         
FWDO_public  all  --  anywhere             anywhere            [goto] 
FWDO_public  all  --  anywhere             anywhere            [goto]

Chain OUTPUT_direct (1 references)
target     prot opt source               destination

Chain IN_public (2 references)
target     prot opt source               destination         
IN_public_log  all  --  anywhere             anywhere            
IN_public_deny  all  --  anywhere             anywhere            
IN_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere

Chain IN_public_log (1 references)
target     prot opt source               destination

Chain IN_public_deny (1 references)
target     prot opt source               destination

Chain IN_public_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh ctstate NEW,UNTRACKED

Chain FWDI_public (2 references)
target     prot opt source               destination         
FWDI_public_log  all  --  anywhere             anywhere            
FWDI_public_deny  all  --  anywhere             anywhere            
FWDI_public_allow  all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere

Chain FWDI_public_log (1 references)
target     prot opt source               destination

Chain FWDI_public_deny (1 references)
target     prot opt source               destination

Chain FWDI_public_allow (1 references)
target     prot opt source               destination

Chain FWDO_public (2 references)
target     prot opt source               destination         
FWDO_public_log  all  --  anywhere             anywhere            
FWDO_public_deny  all  --  anywhere             anywhere            
FWDO_public_allow  all  --  anywhere             anywhere

Chain FWDO_public_log (1 references)
target     prot opt source               destination

Chain FWDO_public_deny (1 references)
target     prot opt source               destination

Chain FWDO_public_allow (1 references)
target     prot opt source               destination         
pi@piras:~ $
</code></pre>
<p>Les règles Iptables ont bien été configurées par Firewalld.</p>
<p>Après reboot, nous voyons que rien n'a été conservé!</p>
<p>Il va falloir investiguer ...</p>
<p>Bien: voilà la procédure à suivre:</p>
<p>sudo firewall-cmd <strong>--permanent</strong> --zone=public --change-interface=eth0</p>
<p>Permet de changer de façon <strong>permanente</strong> l'interface associée à la zone <strong>public</strong>.</p>
<pre><code>Test:
pi@piras:~ $ sudo firewall-cmd --permanent --zone=public --change-interface=eth0
success

pi@piras:~ $ sudo cat /etc/firewalld/zones/public.xml
&lt;?xml version="1.0" encoding="utf-8"?&gt;
&lt;zone&gt;
&lt;short&gt;Public&lt;/short&gt;
&lt;description&gt;For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.&lt;/description&gt;
&lt;interface name="eth0"/&gt;
&lt;service name="ssh"/&gt;
&lt;service name="dhcpv6-client"/&gt;
&lt;/zone&gt;
pi@piras:~ $

Nous voyons que firewalld a créé des répertoires et un fichier dans le répertoire **zones** dont le contenu correspond à ce que nous avons demandé.

pi@piras:~ $ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources: 
services: dhcpv6-client ssh
ports: 
protocols: 
masquerade: no
forward-ports: 
source-ports: 
icmp-blocks: 
rich rules:

pi@piras:~ $
</code></pre>
<p>Test après reboot</p>
<p>Cette fois-ci, ça marche! (Yes!)</p>
<pre><code>pi@piras:~ $ sudo firewall-cmd --list-all
public (active)
target: default
icmp-block-inversion: no
interfaces: eth0
sources: 
services: dhcpv6-client ssh
ports: 
protocols: 
masquerade: no
forward-ports: 
source-ports: 
icmp-blocks: 
rich rules:

pi@piras:~ $
</code></pre>
<p>Nous verrons ensuite comment ajouter des règles suivant les services que nous voudrons déployer.</p>
              
            </div>
          </div>
          <footer>
  
    <div class="rst-footer-buttons" role="navigation" aria-label="footer navigation">
      
        <a href="../Fail2ban/" class="btn btn-neutral float-right" title="Contrer les attaques de force brute">Next <span class="icon icon-circle-arrow-right"></span></a>
      
      
        <a href="../Knot/" class="btn btn-neutral" title="Installation de Knot-resolver"><span class="icon icon-circle-arrow-left"></span> Previous</a>
      
    </div>
  

  <hr/>

  <div role="contentinfo">
    <!-- Copyright etc -->
    
  </div>

  Built with <a href="https://www.mkdocs.org/">MkDocs</a> using a <a href="https://github.com/snide/sphinx_rtd_theme">theme</a> provided by <a href="https://readthedocs.org">Read the Docs</a>.
</footer>
      
        </div>
      </div>

    </section>

  </div>

  <div class="rst-versions" role="note" aria-label="versions">
    <span class="rst-current-version" data-toggle="rst-current-version">
      
      
        <span><a href="../Knot/" style="color: #fcfcfc;">&laquo; Previous</a></span>
      
      
        <span style="margin-left: 15px"><a href="../Fail2ban/" style="color: #fcfcfc">Next &raquo;</a></span>
      
    </span>
</div>
    <script>var base_url = '../../..';</script>
    <script src="../../../js/theme.js" defer></script>
      <script src="../../../search/main.js" defer></script>
    <script defer>
        window.onload = function () {
            SphinxRtdTheme.Navigation.enable(true);
        };
    </script>

</body>
</html>