Configurer FirewallD sur CentOS Configurer FirewallD sur CentOS

Mais pourquoi cela devrait-il vous intéresser ? Eh bien, à moins que vous n'aimiez les analyses de ports aléatoires et les potentielles failles de sécurité, FirewallD est votre passeport pour une configuration CentOS plus sécurisée. C'est flexible, puissant, et vous n'avez pas besoin d'un doctorat en sécurité réseau pour le configurer.

Mise en route de FirewallD

Commençons par installer FirewallD et le faire fonctionner comme une machine bien huilée :


# Installer FirewallD
sudo yum install firewalld

# Démarrer et activer FirewallD
sudo systemctl start firewalld
sudo systemctl enable firewalld

# Vérifier le statut
sudo firewall-cmd --state

Si vous voyez "running", félicitations ! Vous venez de faire votre premier pas vers un monde plus sécurisé.

FirewallD 101 : Zones, Services et Règles

Avant d'aller plus loin, décomposons quelques concepts clés :

Zones : Pensez à elles comme à différents niveaux de sécurité pour vos interfaces réseau. Public, de confiance, maison - vous choisissez.
Services : Ensembles de règles prédéfinis pour les applications courantes. Pas besoin de mémoriser les numéros de port !
Règles : Les détails précis de ce qui est autorisé et ce qui ne l'est pas.

Voici un exemple rapide pour vérifier votre zone par défaut :


sudo firewall-cmd --get-default-zone

Construire votre forteresse de sécurité : Créer et configurer des zones

Maintenant, mettons les mains dans le cambouis et créons une zone personnalisée pour notre serveur web :


# Créer une nouvelle zone appelée 'webserver'
sudo firewall-cmd --permanent --new-zone=webserver

# La définir comme zone active pour eth0
sudo firewall-cmd --permanent --zone=webserver --change-interface=eth0

# Autoriser le trafic HTTP et HTTPS
sudo firewall-cmd --permanent --zone=webserver --add-service=http
sudo firewall-cmd --permanent --zone=webserver --add-service=https

# Recharger pour appliquer les changements
sudo firewall-cmd --reload

Boom ! Vous venez de créer une zone personnalisée adaptée à votre serveur web. Ressentez la puissance !

Services et Ports : Vos portiers numériques

Les services dans FirewallD sont comme des ensembles de règles préemballés. Ils sont pratiques, mais parfois vous devez être précis. Voyons comment gérer les deux :


# Ajouter le service SSH à la zone par défaut
sudo firewall-cmd --permanent --add-service=ssh

# Ouvrir un port spécifique (par exemple, pour une application personnalisée sur le port 8080)
sudo firewall-cmd --permanent --add-port=8080/tcp

# N'oubliez pas de recharger !
sudo firewall-cmd --reload

Conseil de pro : Utilisez toujours le drapeau --permanent sauf si vous faites juste des tests. Sinon, vos changements disparaîtront plus vite qu'une pizza gratuite lors d'une rencontre de développeurs.

Filtrage IP : Choisissez bien vos amis

Parfois, vous voulez être sélectif sur qui peut entrer. Les règles riches de FirewallD vous permettent de faire exactement cela :


# Autoriser l'accès SSH uniquement depuis une IP spécifique
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.100" service name="ssh" accept'

# Bloquer une plage d'IP (peut-être ont-ils été vilains)
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.0/24" reject'

sudo firewall-cmd --reload

Surveiller : Journalisation dans FirewallD

Quel est l'intérêt d'un videur si vous ne savez pas qui a essayé de s'inviter à la fête ? Configurons un peu de journalisation :


# Activer la journalisation pour les paquets rejetés
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" log prefix="DROPPED: " level="info" limit value="5/m" drop'

# Recharger et vérifier les journaux
sudo firewall-cmd --reload
sudo journalctl -f -t kernel | grep DROPPED

Maintenant, vous pouvez vous asseoir et regarder les tentatives échouées défiler. C'est comme une émission de télé-réalité pour hackers, mais moins dramatique et plus éducatif.

Sécuriser SSH : Parce que les mots de passe, c'est dépassé

SSH est le Saint Graal pour l'accès système. Rendons-le aussi sûr que Fort Knox :


# Créer une zone dédiée pour SSH
sudo firewall-cmd --permanent --new-zone=sshsecure

# Autoriser SSH uniquement depuis des IPs de confiance
sudo firewall-cmd --permanent --zone=sshsecure --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'

# Définir une interface spécifique pour cette zone
sudo firewall-cmd --permanent --zone=sshsecure --change-interface=eth1

sudo firewall-cmd --reload

Maintenant, votre accès SSH est plus sécurisé qu'un tambour bien tendu.

Automatiser FirewallD : Parce que les admins paresseux sont des admins efficaces

Créons un script simple pour mettre à jour nos règles automatiquement :


#!/bin/bash

# update_firewall.sh
TRUSTED_IP=$(curl -s http://myserver.com/trusted_ips.txt)

sudo firewall-cmd --permanent --zone=sshsecure --remove-rich-rule='rule family="ipv4" source address="192.168.1.0/24" service name="ssh" accept'
sudo firewall-cmd --permanent --zone=sshsecure --add-rich-rule="rule family=\"ipv4\" source address=\"$TRUSTED_IP\" service name=\"ssh\" accept"

sudo firewall-cmd --reload

echo "Pare-feu mis à jour avec la nouvelle IP de confiance : $TRUSTED_IP"

Planifiez cela avec cron, et vous avez un pare-feu qui se met à jour automatiquement. Bienvenue dans le futur !

Le Grand Final : Sécuriser votre royaume CentOS

Nous avons couvert beaucoup de terrain, de la configuration de base aux configurations avancées. Voici votre liste de contrôle de sécurité CentOS :

Installer et activer FirewallD
Configurer des zones personnalisées pour différents services
Configurer soigneusement les services et les ports
Mettre en œuvre le filtrage IP pour les services critiques
Activer la journalisation pour détecter les tentatives sournoises
Sécuriser SSH avec des zones dédiées et des restrictions IP
Automatiser les mises à jour des règles pour une paresse maximale (efficacité)

Rappelez-vous, la sécurité n'est pas une configuration unique mais un processus continu. Gardez vos règles à jour, surveillez ces journaux, et restez vigilant (de manière saine).

"Le seul système vraiment sécurisé est celui qui est éteint et débranché, enfermé dans un coffre-fort doublé de titane, enterré dans un bunker en béton, et entouré de gaz neurotoxique et de gardes armés très bien payés. Même alors, je ne parierais pas ma vie dessus." - Gene Spafford

Maintenant, allez de l'avant et sécurisez ces serveurs CentOS comme un pro. Votre futur vous (et votre patron) vous remerciera.

P.S. N'oubliez pas de tester occasionnellement votre configuration de pare-feu. Vous ne voudriez pas réaliser qu'il ne fonctionne pas quand il est déjà trop tard, n'est-ce pas ?

Mise en route de FirewallD

FirewallD 101 : Zones, Services et Règles

Construire votre forteresse de sécurité : Créer et configurer des zones

Services et Ports : Vos portiers numériques

Filtrage IP : Choisissez bien vos amis

Surveiller : Journalisation dans FirewallD

Sécuriser SSH : Parce que les mots de passe, c'est dépassé

Automatiser FirewallD : Parce que les admins paresseux sont des admins efficaces

Le Grand Final : Sécuriser votre royaume CentOS

Plus dans cette catégorie Programming

Concevoir pour une Dégradation Gracieuse dans les Systèmes Backend : Quand les Temps Sont Durs, Votre Système Tient le Coup

Au-delà des tableaux et des HashMaps : des structures de données avancées pour faire chanter votre backend

Kubernetes sans Docker : Se libérer de la baleine

Les Cas Limites Oubliés de la Pagination : Quand le Défilement Devient une Montagne Russe

Rejoignez notre communauté 👋