Configurer des pare-feu dans Red Hat

Les VM de chambre utilisent Red Hat Enterprise Linux comme système d’exploitation. Par défaut, le pare-feu est configuré pour refuser toutes les connexions entrantes, sauf pour les services gérés. Pour autoriser la communication entrante, les règles doivent être ajoutées au pare-feu pour autoriser le trafic à passer. De même, si une règle n’est plus nécessaire, elle doit être supprimée.

Cet article présente les commandes de configuration de pare-feu les plus courantes. Pour obtenir une documentation complète ou des scénarios plus complexes, consultez chapitre 40. Utilisation et configuration firewalld de la documentation Red Hat Enterprise Linux 8.

Toutes les opérations référencées ici nécessitent sudo privilèges et ont donc besoin du rôle d’administrateur(-trice) de chambre.

Important

Les machines virtuelles peuvent uniquement communiquer avec d’autres machines virtuelles dans la même chambre. Le trafic de chambre à chambre n’est jamais autorisé et la modification des règles de pare-feu n’active pas le trafic inter-chambre.

Prérequis

• Un compte d’utilisateur avec le rôle Administrateur de chambre.

Répertorier tous les ports ouverts

Répertoriez tous les ports actuellement ouverts et le protocole associé.

$ sudo firewall-cmd --list-all
public (active)
 target: default
 icmp-block-inversion: no
 interfaces: eth0
 sources: 
 services: cockpit dhcpv6-client ssh
 ports: 6817-6819/tcp 60001-63000/tcp
 protocols: 
 forward: no
 masquerade: no
 forward-ports: 
 source-ports: 
 icmp-blocks: 
 rich rules: 

Ouvrir des ports pour le trafic

Vous pouvez ouvrir une plage unique ou consécutive de ports pour le trafic. Les modifications apportées à firewall-d sont temporaires et ne sont pas conservées si le service est redémarré ou rechargé, sauf s’il est validé.

Ouvrir un seul port

Ouvrez un port unique avec firewalld pour un protocole donné à l’aide de l’option --add-port=portnumber/porttype. Cet exemple ouvre le port 5510/TCP.

$ sudo firewall-cmd --add-port=33500/tcp
success

Validez la règle sur le jeu permanent :

$ sudo firewall-cmd --runtime-to-permanent
success

Ouvrir une série de ports

Ouvrez une plage de ports avec firewalld pour un protocole spécifié avec l’option --add-port=startport-endport/porttype. Cette commande est utile dans les scénarios de traitements distribués où les workers sont distribués à un grand nombre de nœuds et plusieurs workers peuvent se trouver sur le même nœud physique. Cet exemple ouvre 100 ports consécutifs à partir du port 5 000 avec le protocole UDP.

$ sudo firewall-cmd --add-port=5000-5099/udp
success

Validez la règle sur le jeu permanent :

$ sudo firewall-cmd --runtime-to-permanent
success

Supprimer les règles de port

Si les règles ne sont plus nécessaires, elles peuvent être supprimées avec la même notation que l’ajout et l’utilisation de la --remove-port=portnumber/porttype. Cet exemple supprime un seul port :

$ sudo firewall-cmd --remove-port=33500/tcp
success

Validez la règle sur le jeu permanent :

$ sudo firewall-cmd --runtime-to-permanent
success

Contenu connexe

• Téléchargement de données vers une chambre
• Télécharger les données d’une chambre