Fichiers de configuration de zone firewalld
Un fichier de configuration de zone contient les informations pour une zone.
Structure d'un fichier de configuration de zone
?xml version="1.0" encoding="utf-8"?
zone [version="versionstring"] [target="ACCEPT|%%REJECT%%|DROP"]
[ shortshort description/short ]
[ descriptiondescription/description ]
[ interface name="string"/ ]
[ source address="address[/mask]"|mac="MAC"|ipset="ipset"/ ]
[ service name="string"/ ]
[ port port="portid[-portid]" protocol="tcp|udp"/ ]
[ protcol value="protocol"/ ]
[ icmp-block name="string"/ ]
[ icmp-block-inversion/ ]
[ masquerade/ ]
[ forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="ipv4address"]/ ]
[ source-port port="portid[-portid]" protocol="tcp|udp"/ ]
[
rule [family="ipv4|ipv6"]
[ source address="address[/mask]"|mac="MAC"|ipset="ipset" [invert="True"]/ ]
[ destination address="address[/mask]" [invert="True"]/ ]
[
service name="string"/ |
port port="portid[-portid]" protocol="tcp|udp"/ |
protocol value="protocol"/ |
icmp-block name="icmptype"/ |
masquerade/ |
forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="address"]/
]
[ log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"] [limit value="rate/duration"/] /log ]
[ audit [limit value="rate/duration"/] /audit ]
[
accept [limit value="rate/duration"/] /accept |
reject [type="rejecttype"] [limit value="rate/duration"/] /reject |
drop [limit value="rate/duration"/] /drop |
mark set="mark[/mask]" [limit value="rate/duration"/] /mark
]
/rule
]
/zone
zone définis la zone. Obligatoire et ne peut exister qu'une seule fois. Ses attributs optionnels sont:
version="string" Version de la zone
target="ACCEPT|%%REJECT%%|DROP" Accèpte, rejète ou supprime tout paquets qui ne correspond à aucune règle.
short Description courte pour la zone
description Description complète de la zone
interface Permet de lier une interface à une zone. Peut être spécifié plusieurs fois. l'attribut name="string" spécifie le nom de l'interface.
source Permet de lier une adresse source, plage d'adresse, adresse MAC ou ipset à une zone. Peut être spécifié plusieurs fois. Les attributs sont:
address="address[/mask]" IP ou réseau source.
mac="MAC" Adresse MAC source
ipset="ipset" ipset source
service Spécifie un service. Peut être spécifié plusieurs fois. l'argument name="string" spécifie un service à activer
port Port à ajouter. Peut être spécifié plusieurs fois
port="portid[-portid]" Port ou plage de port
protocol="tcp|udp" protocole à utiliser
protocol Spécifie un protocole supporté par le système. (voir /etc/protocols). Peut être spécifié plusieurs fois. l'argument value="string" spécifie le nom du protocol.
icmp-block l'argument name="string est le nom d'un type ICMP (firewall-cmd --list=icmptypes pour les lister)
icmp-block-inversion Inverse icmp-block
masquerade IPv4 uniquement. Active le masquerading pour la zone
forward-port IPv4 uniquement. Peut être spécifié plusieurs fois
port="portid[-portid]" Port ou plage de ports
protocol="tcp|udp" Protocole utilisé
to-port="portid[-portid] Port ou plage de port de destination
to-addr="address" adresse IPv4 de destination
source-port Spécifie un port source. Peut être spécifié plusieurs fois
port="portid[-portid]" Port ou plage de ports
protocol="tcp|udp" Protocole utilisé
rule Définis une règle en langage rich. peut être spécifié plusieurs fois. La structure générale est:
rule [family="ipv4|ipv6"]
[ source address="address[/mask]" [invert="True"]/ ]
[ destination address="address[/mask]" [invert="True"]/ ]
[
service name="string"/ |
port port="portid[-portid]" protocol="tcp|udp"/ |
protocol value="protocol"/ |
icmp-block name="icmptype"/ |
masquerade/ |
forward-port port="portid[-portid]" protocol="tcp|udp" [to-port="portid[-portid]"] [to-addr="address"]/ |
source-port port="portid[-portid]" protocol="tcp|udp"/ |
]
[ log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"]/ [limit value="rate/duration"/] /log ]
[ audit [limit value="rate/duration"/] /audit ]
[
accept [limit value="rate/duration"/] /accept |
reject [type="rejecttype"] [limit value="rate/duration"/] /reject |
drop [limit value="rate/duration"/] /drop |
mark set="mark[/mask]" [limit value="rate/duration"/] /mark
]
/rule
La structure de règle pour les listing black ou white source:
rule [family="ipv4|ipv6"]
source address="address[/mask]" [invert="True"]/
[ log [prefix="prefixtext"] [level="emerg|alert|crit|err|warn|notice|info|debug"]/ [limit value="rate/duration"/] /log ]
[ audit [limit value="rate/duration"/] /audit ]
accept [limit value="rate/duration"/] /accept |
reject [type="rejecttype"] [limit value="rate/duration"/] /reject |
drop [limit value="rate/duration"/] /drop
/rule