Apparence
Uubu.fr

Les systèmes Linux, l’open source, les réseaux, l’interopérabilité, etc.
« Il vaut mieux viser la perfection et la manquer que viser l’imperfection et l’atteindre. » (Bertrand Arthur William RUSSEL)
06 avril 2017

firewall sécurité firewalld           Sécurité réseaux


firewalld.direct

firewalld.direct

Fichier de configuration direct

   Ce fichier de configuration donne un accès plus directe au firewall. Il nécessite de connaître les concepts ip(6)tables/ebtables. Un fichier de configuration direct contient des informations sur les chaînes directes permanentes

Exemple de structure de fichier de configuration directe:
‹?xml version="1.0" encoding="utf-8"?›
‹direct›
    [ ‹chain ipv="ipv4|ipv6|eb" table="table" chain="chain"/› ]
    [ ‹rule ipv="ipv4|ipv6|eb" table="table" chain="chain" priority="priority"› args ‹/rule› ]
    [ ‹passthrough ipv="ipv4|ipv6|eb"› args ‹/passthrough› ]
‹/direct›

direct Tag définissant la configuration directe
chain Définis les noms pour les chaînes additionnelles. Optionnel et peut être spécifié plusieurs fois. Une entrée chaîne a exactement 3 attributs:

        ipv="ipv4|ipv6|eb" Famille d'IP où la chaîne doit être créée
        table="table" Nom de la table où la chaîne doit être créée
        chain="chain" Nom de la chaîne, qui sera créée

rule Permet d'ajouter des règles à une chaîne intégrée ou ajoutée. Optionnel et peut être utilisé plusieurs fois. Une règle a exactement 4 attributs:

        ipv="ipv4|ipv6|eb" Famille d'IP où la règle doit être ajoutée
        table="table" Nom de la table où la règle doit être ajoutée
        chain="chain" Nom de la chaîne où la règle doit être ajoutée
        priority="priority" Priorité utilisée pour ordonner les règles. 0 signifie d'ajouter la règle en haut de la chaîne

passthrough Permet d'ajouter des règles à une chaîne intégrée ou ajoutée. Optionnel et peut être utilisé plusieurs fois. Une règle a exactement un attribut:

        ipv="ipv4|ipv6|eb" Famille d'IP où le passthrough doit être ajouté

Exemples

Blacklister les réseaux 192.168.1.0/24 et 192.168.5.0/24 en loggant et supprimant très tôt dans la table raw:
‹chain ipv="ipv4" table="raw" chain="blacklist"/›
‹rule ipv="ipv4" table="raw" chain="PREROUTING" priority="0"›-s 192.168.1.0/24 -j blacklist‹/rule›
‹rule ipv="ipv4" table="raw" chain="PREROUTING" priority="1"›-s 192.168.5.0/24 -j blacklist‹/rule›
‹rule ipv="ipv4" table="raw" chain="blacklist" priority="0"›-m limit --limit 1/min -j LOG --log-prefix "blacklisted: "‹/rule›
‹rule ipv="ipv4" table="raw" chain="blacklist" priority="1"›-j DROP‹/rule›