Voici le troisième article dans la série sur le système de pare-feu FirewallD. Dans nos deux précédents articles, nous avons configuré FirewallD sur un serveur simple et sur un routeur dans le réseau local. Aujourd’hui nous allons nous intéresser de plus près à la configuration de FirewallD sur un serveur dédié dans un datacenter.
État des lieux
Dans le réseau de mon entreprise, la machine alphajet.microlinux.fr est un serveur dédié muni d’une installation de CentOS 7. Elle héberge entre autres choses la page que vous êtes en train de lire et dispose actuellement d’un pare-feu géré par un script iptables.
Avant de supprimer ce pare-feu « fait maison », j’affiche les règles en vigueur et je prends note des différents services autorisés.
- DNS
- HTTP
- HTTPS
- SMTP
- SMTPS
- IMAP
- IMAPS
- XMPP
Installation et mise en service
Je désactive le pare-feu « fait maison ».
$ sudo systemctl stop iptables $ sudo yum remove iptables-services
J’installe le paquet firewalld.
$ sudo yum install firewalld
J’active et je lance le service correspondant.
$ sudo systemctl enable firewalld --now
J’affiche l’état du pare-feu.
$ sudo firewall-cmd --state running
Utiliser la zone par défaut
Le serveur dispose d’une interface réseau eth0 avec une ouverture frontale sur Internet.
$ nmcli con show NAME UUID TYPE DEVICE WAN f1f2025e-dbed-3596-b314-371972966e30 ethernet eth0
Dans la configuration par défaut, cette interface est associée à la zone public. Rappelons ici que les « zones » de FirewallD représentent une collection de règles de pare-feu adaptées à un certain contexte.
$ firewall-cmd --get-active-zones public interfaces: eth0
La zone public est parfaitement adaptée à un serveur dédié. Nous allons donc la conserver. Pour plus de clarté, nous allons même l’inscrire explicitement dans la configuration de l’interface réseau.
$ echo "ZONE=public" | sudo tee -a /etc/sysconfig/network-scripts/ifcfg-WAN
Afficher les services autorisés
J’affiche la configuration de la zone.
$ sudo firewall-cmd --list-all public (active) target: default icmp-block-inversion: no interfaces: eth0 sources: services: dhcpv6-client ssh ports: protocols: masquerade: no forward-ports: source-ports: icmp-blocks: rich rules:
Supprimer un service prédéfini
Je peux sereinement me débarrasser de dhcpv6-client pour ne garder que le seul service ssh.
$ sudo firewall-cmd --permanent --remove-service=dhcpv6-client success $ sudo firewall-cmd --reload success
Afficher les services disponibles
J’affiche la liste complète des services disponibles et je repère ceux qui m’intéressent.
$ firewall-cmd --get-services RH-Satellite-6 amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc ceph ceph-mon cfengine condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kerberos kibana klogin kpasswd kprop kshell ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp pulseaudio puppetmaster quassel radius redis rpc-bind rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync squid ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tftp tftp-client tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server
Autoriser les services nécessaires
J’autorise les services dns, http, https, smtp, smtps, imap, imaps et xmpp-client. Étant donné qu’il s’agit de la zone public définie par défaut, ce n’est pas le peine de la préciser explicitement.
$ sudo firewall-cmd --permanent --add-service=dns success $ sudo firewall-cmd --permanent --add-service=http success $ sudo firewall-cmd --permanent --add-service=https success $ sudo firewall-cmd --permanent --add-service=smtp success $ sudo firewall-cmd --permanent --add-service=smtps success $ sudo firewall-cmd --permanent --add-service=imap success $ sudo firewall-cmd --permanent --add-service=imaps success $ sudo firewall-cmd --permanent --add-service=xmpp-client success $ sudo firewall-cmd --reload success
J’affiche le résultat de l’opération.
$ sudo firewall-cmd --list-services dns http https imap imaps smtp smtps ssh xmpp-client
Et maintenant ?
Mon serveur dédié dispose désormais d’un pare-feu avec une configuration raisonnablement saine. Pour compléter la configuration, j’intègre Fail2ban pour le protéger contre les attaques par force brute.
La rédaction de cette documentation demande du temps et des quantités significatives de café espresso. Vous appréciez ce blog ? Offrez un café au rédacteur en cliquant sur la tasse.
