Comment installer Firewalld sur Debian 12, 11 ou 10

Firewalld se démarque par son approche dynamique de la gestion des pare-feu. Il offre une adaptabilité en temps réel, une fonctionnalité qui le distingue des outils traditionnels comme iptables et ufw. Cette flexibilité en temps réel positionne Firewalld comme un choix privilégié pour les utilisateurs qui apprécient la sécurité et la facilité d'utilisation.

Principaux avantages de Firewalld :

  • Gestion basée sur les zones: Firewalld utilise un système basé sur des zones, axé sur la gestion des connexions centrée sur l'utilisateur, ce qui s'écarte des opérations par paquet d'iptables.
  • Mises à jour instantanées: Avec Firewalld, les modifications prennent effet immédiatement sans nécessiter de redémarrage, contrairement à iptables, qui nécessitent souvent des rechargements de service, perturbant potentiellement les connexions actives.
  • Commandes conviviales: La structure de commande de Firewalld est plus intuitive que celle d'ufw, ce qui la rend incroyablement conviviale pour ceux qui découvrent les configurations de pare-feu.
  • Documentation complète: Firewalld s'appuie sur une documentation complète et une communauté d'utilisateurs active, garantissant aux utilisateurs un support et des ressources suffisants.
  • Intégration transparente avec Debian: La combinaison des fonctionnalités dynamiques de Firewalld avec la stabilité réputée de Debian offre une expérience inégalée tant pour les utilisateurs de bureau que pour les administrateurs de serveur.

Grâce aux connaissances de base, ce guide vous guidera dans l'intégration transparente de Firewalld dans votre système Debian.

Installer Firewalld via les commandes du terminal

Mettre à jour Debian avant l'installation de Firewalld

Avant de se lancer dans toute nouvelle installation de logiciel, la mise à jour de la base de données des paquets système Debian est cruciale avec la commande suivante :

sudo apt update

Cette commande demande au système de récupérer les dernières données du package à partir de tous les référentiels configurés.

Procéder à l'installation de Firewalld via la commande APT

Avec les informations de package mises à jour du système, vous pouvez désormais installer Firewalld. Le gestionnaire de paquets Debian, également connu sous le nom d'APT, simplifie cette tâche. Pour lancer l'installation, exécutez la commande suivante :

sudo apt install firewalld

Cette commande indique au gestionnaire de packages de télécharger et d'installer le package logiciel Firewalld.

Confirmer l'installation de Firewalld

Une fois que vous avez installé Firewalld, vérifiez que vous l'avez installé correctement et configurez-le pour qu'il s'exécute correctement. Pour afficher la version de Firewalld sur votre système, utilisez :

firewall-cmd --version

Cette commande affiche le numéro de version de Firewalld, confirmant son installation.

Maintenant, démarrez Firewalld et configurez-le pour qu'il s'exécute au démarrage du système. Utilisez cette commande :

sudo systemctl enable --now firewalld

Comprendre les zones de pare-feu

Dans les « zones » pare-feu, les règles de trafic réseau sont dictées en fonction de la fiabilité du réseau connecté, allant des paramètres publics non fiables aux réseaux domestiques privés.

Passons en revue certains d'entre eux et ce qu'ils signifient en détail :

Le rôle des zones dans Firewalld :

  • Firewalld fonctionne en utilisant le concept de « zones ».
  • Une « zone » dans Firewalld est essentiellement un ensemble de règles prédéfinies. Ces règles dictent le type de trafic réseau autorisé ou refusé en fonction de la fiabilité du réseau sur lequel se trouve l'ordinateur.

Exemples de fonctionnement des zones :

  • Zone publique : Cette zone est conçue pour les réseaux situés dans des lieux publics, tels que les cafés ou les aéroports. Vous ne pouvez pas faire confiance à la plupart des autres appareils dans ces paramètres, les règles sont donc plus restrictives pour protéger votre système.
  • Zone d'accueil : Cette zone suppose un environnement plus sûr, comme votre maison. Ici, vous connaissez probablement tous les appareils, les règles sont donc moins strictes, permettant davantage de communication entre les appareils.

Liste de certaines zones prédéfinies courantes dans Firewalld :

  • Baisse: Supprime tous les paquets entrants sans aucune réponse. Le plus restrictif.
  • Bloc: Similaire à « Drop », mais enverra une réponse de rejet à la source.
  • Publique: Pour les réseaux publics et non fiables.
  • Externe: Utilisé lorsque votre système agit comme une passerelle ou un pare-feu.
  • DMZ (zone démilitarisée) : Pour les ordinateurs de votre DMZ, offrez un accès limité à un ordinateur isolé depuis Internet.
  • Travail: Pour les environnements de travail dans lesquels vous faites confiance à de nombreux utilisateurs mais ont néanmoins besoin de mesures de protection.
  • Maison: Règles assouplies pour les environnements domestiques.
  • Interne: Pour les sections internes d'un réseau public ou privé.
  • De confiance: Toutes les connexions réseau sont acceptées. Le moins restrictif.

Commandes courantes du pare-feu

Dans cette section, nous examinons les commandes Firewalld les plus fréquemment utilisées. Ces commandes sont essentielles à la gestion et à la configuration de votre configuration Firewalld, vous permettant de sécuriser efficacement votre environnement Debian.

Syntaxe et options des commandes Firewalld

La syntaxe générale des commandes Firewalld est relativement simple. Ci-dessous, nous discuterons de la syntaxe et des options afin que vous puissiez mieux comprendre de quoi il s'agit.

Premièrement, la syntaxe des commandes firewalld est la suivante :

firewall-cmd [options] command

Voici une brève explication des composants de la syntaxe :

  • firewall-cmd: Il s'agit de la commande principale utilisée pour les opérations Firewalld.
  • options: Ceux-ci modifient le comportement de la commande. Ils sont facultatifs et peuvent être omis.
  • command: Ceci spécifie l'opération que vous souhaitez effectuer.

En ce qui concerne les options, Firewalld offre une variété. Quelques-uns couramment utilisés incluent :

  • --zone=zone: Spécifie la zone sur laquelle opérer. Si aucune zone n'est spécifiée, la zone par défaut est utilisée.
  • --add-service=service: ajoute le service spécifié à la zone. Le changement est effectif immédiatement mais ne persiste pas lors des redémarrages, sauf si --permanent est ajouté.
  • --get-active-zones: Répertorie toutes les zones actuellement actives ainsi que leurs interfaces associées.
  • --get-services: Répertorie tous les services disponibles connus de Firewalld.
  • --reload : Recharge la configuration de Firewalld, en implémentant toutes les modifications apportées avec --permanent sans nécessiter un redémarrage du système.

Pour des informations plus détaillées, vous pouvez toujours consulter la page de manuel Firewalld en exécutant man firewall-cmd dans votre terminal.

Liste de toutes les zones de pare-feu actives

Comprendre quelles zones sont actives sur votre installation Firewalld fournit une base solide pour gérer les configurations de votre pare-feu. Vous pouvez récupérer ces informations avec la commande suivante :

sudo firewall-cmd --get-active-zones

Cette commande invite Firewalld à répertorier toutes les zones actives, chacune accompagnée de ses interfaces réseau associées.

Affichage de la zone par défaut

Pour afficher la zone par défaut configurée dans votre Firewalld, exécutez la commande suivante :

sudo firewall-cmd --get-default-zone

Le résultat de cette commande spécifie la zone par défaut, ce qui est crucial pour comprendre les politiques et services de sécurité par défaut appliqués aux connexions réseau entrantes.

Modification de la zone par défaut

Pour modifier la zone par défaut, utilisez la commande suivante :

sudo firewall-cmd --set-default-zone=your_zone_name

En remplaçant your_zone_name avec le nom de zone réel, vous modifiez la zone par défaut de votre installation Firewalld.

Liste des services dans une zone

Vous avez souvent besoin de savoir quels services une zone spécifique autorise. Vous pouvez y parvenir en utilisant :

sudo firewall-cmd --zone=your_zone_name --list-services

Remplacez simplement your_zone_name avec le nom de la zone pour laquelle vous souhaitez lister les services autorisés.

Ajouter un service à une zone

Pour ajouter un nouveau service à une zone, utilisez la commande suivante :

sudo firewall-cmd --zone=your_zone_name --add-service=your_service_name

Avec cette commande, your_service_name est ajouté à your_zone_name. Assurez-vous de remplacer ces espaces réservés par vos noms de service et de zone réels.

Commandes et scénarios avancés de Firewalld

Firewalld propose une suite complète de commandes et de fonctionnalités avancées qui offrent un contrôle granulaire sur les paramètres de votre pare-feu. Examinons ces commandes, vous dotant des connaissances nécessaires pour gérer les scénarios complexes pouvant survenir dans vos tâches de gestion de réseau.

Gestion avancée du pare-feu avec Firewalld

Définir un nouveau service

Si vous exécutez une application personnalisée sur un port spécifique non répertorié dans les services prédéfinis, vous pouvez définir ce service vous-même.

Utilisez la commande suivante pour ce faire :

sudo firewall-cmd --permanent --new-service=myservice

Par la suite, vous pourrez ajouter des paramètres pour votre service personnalisé. Par exemple, pour définir un nom court et descriptif pour le service :

sudo firewall-cmd --permanent --service=myservice --set-short="My Custom Service"

Ajustement de la zone par défaut

Lorsqu'une connexion entrante n'a pas de zone spécifique définie, le système utilise la zone par défaut. Vous pouvez modifier la zone par défaut pour répondre à vos besoins.

sudo firewall-cmd --set-default-zone=home

Cette commande définit la zone par défaut sur 'maison'. Assurez-vous de remplacer 'maison' avec la zone souhaitée en fonction de votre environnement réseau et de vos exigences de sécurité.

Création d'une zone personnalisée

Si les zones prédéfinies ne répondent pas à vos besoins, vous pouvez créer une zone personnalisée :

sudo firewall-cmd --permanent --new-zone=customzone

Après avoir créé la zone, vous pouvez la modifier en ajoutant ou en supprimant des services, des ports, etc., selon vos spécifications.

Activation du masquage

Vous utilisez généralement le masquage lorsque votre système sert de passerelle ou de routeur pour d'autres systèmes de votre réseau. Pour activer le masquage dans une zone spécifique, utilisez :

sudo firewall-cmd --zone=public --add-masquerade

N'oubliez pas de remplacer « public » par la zone dans laquelle vous souhaitez activer le masquage.

Ports de transfert

Firewalld vous permet également de transférer un port spécifique vers un autre. Cela peut être bénéfique dans de nombreux scénarios, par exemple lors de l'exécution de services sur des ports non standard :

sudo firewall-cmd --zone=public --add-forward-port=port=5000:proto=tcp:toport=80

Cette commande transfère toutes les connexions TCP entrantes du port 5000 vers le port 80 dans la zone « publique ».

Ces exemples ne représentent qu'un infime sous-ensemble des fonctionnalités avancées de Firewalld. De nombreuses autres commandes et options sont disponibles en fonction de vos besoins spécifiques en matière de réseau et de sécurité. Pour plus d'informations, reportez-vous à la documentation officielle de Firewalld ou utilisez la commande « man ».

Dépannage des problèmes de pare-feu

La gestion des pare-feu peut parfois s'avérer complexe et vous pourriez rencontrer des problèmes. Cependant, Firewalld fournit un ensemble complet d'outils et de techniques de dépannage pour aider à résoudre ces problèmes. Cette section vous guidera dans le diagnostic et la résolution des problèmes courants de pare-feu.

Enquête sur les problèmes de pare-feu

Vérification de l'état du pare-feu

Pour diagnostiquer un problème de Firewalld, vérifiez d'abord l'état du service avec la commande suivante :

sudo systemctl status firewalld

Cette commande fournit des informations sur l'état du service Firewalld, s'il est actif et s'il a rencontré des erreurs lors du démarrage.

Examen des journaux de pare-feu

Vous pouvez trouver des informations précieuses dans les journaux Firewalld lorsque vous résolvez des problèmes. Par défaut, Firewalld enregistre les événements dans le journal système, auquel vous pouvez accéder en utilisant :

sudo journalctl -u firewalld

Cette commande affichera les journaux liés à Firewalld, vous aidant à identifier les erreurs ou les comportements inhabituels.

Vérification de la configuration

Firewalld conserve ses fichiers de configuration dans le /etc/firewalld/ annuaire. Si vous rencontrez des problèmes, il est conseillé de vérifier ces fichiers de configuration pour détecter toute erreur ou divergence :

sudo less /etc/firewalld/firewalld.conf

Cette commande vous permet de visualiser le fichier de configuration principal de Firewalld.

Résoudre les problèmes courants de pare-feu

Problème : Firewalld ne répond pas aux commandes

Parfois, Firewalld peut ne pas réagir à vos commandes. Une excellente première action consiste à recharger Firewalld. Vous pouvez le faire avec la commande suivante :

sudo firewall-cmd --reload

Cette commande recharge la configuration de Firewalld à partir du disque et ignore toutes les modifications temporaires non enregistrées. Cependant, cela ne supprime pas toutes les règles de pare-feu.

Problème : besoin de réinitialiser Firewalld aux valeurs par défaut

Si vous souhaitez réinitialiser tous les paramètres par défaut et supprimer toutes les règles personnalisées, vous devez utiliser le --complete-reload option. Veuillez noter que l'utilisation de cette option supprimera toutes les configurations d'exécution et permanentes et les remplacera par l'ensemble de règles par défaut.

sudo firewall-cmd --complete-reload

Problème : nécessité de supprimer une règle spécifique

Pour supprimer une règle spécifique, vous devez utiliser le --remove commande. Par exemple, si vous souhaitez supprimer le service HTTP de la zone publique dans la configuration permanente, la commande serait :

sudo firewall-cmd --permanent --zone=public --remove-service=http

Problème : La règle de pare-feu ne fonctionne pas

Si une règle de pare-feu ne semble pas fonctionner, la raison est souvent que quelqu'un n'a pas défini la règle pour qu'elle soit permanente. Une règle non permanente ne fonctionne que pour la session en cours. Une fois que quelqu'un redémarre le système, la règle disparaît. Pour garantir que la règle reste, incluez le --permanent indicateur lorsque vous créez la règle.

Problème : la configuration de zone ne fonctionne pas comme prévu

Comprendre les zones et la façon dont elles interagissent avec les interfaces et les services est crucial lorsque l'on travaille avec Firewalld. Voici quelques scénarios qui pourraient se produire et comment y remédier.

Scénario : vous n'avez pas attribué l'interface à la bonne zone

Imaginez que vous créez une nouvelle zone appelée « interne » pour votre réseau interne et que vous configurez des règles et des services spécifiques pour celle-ci. Mais le système n'applique pas ces règles. Une raison probable pourrait être que vous n'avez pas attribué l'interface prévue à la zone « interne ».

Pour voir quelles interfaces sont associées à une zone, utilisez cette commande :

sudo firewall-cmd --zone=internal --list-interfaces

Si la sortie n'inclut pas l'interface souhaitée, vous pouvez l'attribuer à l'aide de la commande :

sudo firewall-cmd --zone=internal --add-interface=eth1

Cette commande ajoute l'interface 'eth1' à la zone 'interne'.

Scénario : La zone n'active pas le service

Imaginez que vous avez un 'dmz' zone et souhaitez autoriser le trafic HTTP. Mais le trafic ne passe pas. Cela peut se produire si vous n'avez pas activé le service HTTP dans le 'dmz' zone.

Pour voir si une zone a un service activé, saisissez :

sudo firewall-cmd --zone=dmz --query-service=http

Si le service n'est pas actif, activez-le avec :

sudo firewall-cmd --zone=dmz --add-service=http

Cette commande active le service HTTP dans le 'dmz' zone.

Incluez l'indicateur –permanent dans les commandes pour que ces modifications perdurent après le redémarrage. Reliez toujours vos interfaces aux zones appropriées et activez les services nécessaires.

Conclusion

Dans ce guide complet, nous vous avons expliqué l'installation de Firewalld sur Debian, y compris les versions 12, 11 et 10. Nous avons exploré les principes fondamentaux de Firewalld, ses configurations de zones et de services, et vous avons fourni des commandes de base et avancées. exemples. De plus, nous avons abordé certains scénarios de dépannage courants que vous pourriez rencontrer lorsque vous travaillez avec Firewalld. En suivant ce guide, vous devriez être bien équipé pour utiliser Firewalld afin de gérer et de sécuriser efficacement les paramètres de pare-feu de votre serveur. Nous vous encourageons à expérimenter et à affiner continuellement vos connaissances, car la maîtrise de Firewalld vous fournira un ensemble d'outils robustes pour maintenir un environnement réseau sécurisé et bien organisé.

Liens utiles

Voici quelques liens précieux liés à l’utilisation de Firewalld :

  • Site officiel de Firewalld: Visitez le site Web officiel de Firewalld pour plus d'informations sur le gestionnaire de pare-feu dynamique, ses fonctionnalités et les options de téléchargement.
  • Documentation du pare-feu: accédez à une documentation complète pour obtenir des guides détaillés sur l'installation, la configuration et l'utilisation de Firewalld.
  • Communauté Firewalld: Rejoignez la communauté Firewalld pour vous connecter avec d'autres utilisateurs, participer à des discussions et obtenir de l'aide.
  • Référentiel GitHub Firewalld: Explorez le référentiel Firewalld GitHub pour afficher le code source, signaler les problèmes et contribuer au développement.
Joshua James
Suis-moi
Les derniers articles par Joshua James (tout voir)

Laissez un commentaire


fr_FRFrançais