Nous pourrions essayer de commencer par la définition du pare-feu qui est nécessaire pour remplir la compréhension du « vocabulaire des ports ». Le pare-feu est un logiciel ou un firmware qui applique un ensemble de règles concernant les paquets de données qui seront autorisés à entrer ou à sortir d’un réseau. Il est en charge de la gestion des règles Allow et Deny pour les ports.
Selon le sujet de ce guide, nous voudrions ouvrir des ports dans les distributions Linux telles que Ubuntu ou CentOS. Les deux distros permettent de le configurer avec différents ensembles d’outils (paquets de pare-feu) mais avec les mêmes résultats.
Outils que nous utiliserons :
– UFW
– Firewalld
Regardons d’abord le scénario Ubuntu :
Cette distribution contient le service préinstallé UFW(Uncomplicated Firewall) par défaut. Il simplifie l’ensemble de la configuration et il est convivial pour toute personne.
Vérifier l’état du service avec la commande standard systemctl:
$ sudo systemctl status ufw
Activer l’UFW avec la commande enable:
$ sudo ufw enable
Syntaxe pour ouvrir un port TCP spécifique :
$ sudo ufw allow (port)/tcp
par exemple:
$ sudo ufw allow 53/tcp
La syntaxe supporte également les noms qui renvoient à des ports spécifiques:
$ sudo ufw allow https
Pour autoriser les paquets tcp et udp entrants sur le port 21, entrez :
$ sudo ufw allow 21
Exemple pour une adresse IP spécifique:
$ sudo ufw allow from 190.34.21.113 to any port
Vérifions la configuration:
$ sudo ufw status verbose
La commande affiche un tableau provisoire avec trois colonnes :
Explications:
– To – décrit le protocole particulier
– Action – nous dit s’il est autorisé ou refusé
– From – Il dit à propos de la source par ex.g n’importe où ou une adresse ip comme présenté ci-dessus
C’est déjà l’heure de CentOS :
Firewalld est un outil plus avancé qui utilise des zones dans sa configuration. Ils sont responsables de prendre soin d’une zone, ou d’une interface réseau « attachée ».
Firewalld est un contrôleur frontal pour iptables utilisé pour mettre en œuvre des règles persistantes de trafic réseau.
Regardons un tas de commandes qui élaborent avec firewalld.
1. Démarrez notre service avec la commande stardand systemctl:
$ sudo systemctl start firewalld
Activez-le:
$ sudo systemctl enable firewalld
Cette commande nous informe sur l’état du service. Elle ne peut afficher que deux phrases : « running » ou « no running »
$ sudo firewall-cmd --state
La zone par défaut est publique. Dans ce court tutoriel, nous ne la modifierons pas, mais si vous souhaitez le faire alors utilisez ces commandes:
$ sudo firewall-cmd --set-default-zone=work
Essayons d’ajouter du trafic tcp sur le port 1112:
$ sudo firewall-cmd --zone=public --add-port=1112/tcp --permanent
Pour recharger et obtenir ces changements appliqués instantanément, nous devons recharger l’état de firewalld.
$ sudo firewall-cmd --reload
Nous pouvons obtenir un examen lisible de notre nouvelle règle avec la commande listing:
Pour autoriser une connexion ssh sur une Ipv4 spécifique, nous devons utiliser la syntaxe avec « règle riche »
.