1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Conseils sur l'utilisation de firewalld

    From Olivier@21:1/5 to All on Wed Sep 8 11:10:01 2021
    Bonjour,

    J'ai découvert firewalld tout dernièrement sur une machine sous Bullseye.

    J'ai trouvé son utilisation assez intuitive avec son programme
    firewalld-cmd pour changer de façon temporaire ou persistante, la configuration du firewall.

    Un point aussi très intéressant est le fait de fonctionner aussi bien avec iptables qu'avec nftables.


    Auparavant, j'avais l'habitude de consigner dans un scripts exécutable /etc/network/if-pre-up.d/fw, une longue liste de commandes iptables comme
    suit:

    #!/bin/sh

    WAN_IF=ens9
    LAN_IFS="ens3.3 ends3.15"


    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t mangle -F

    iptables -P INPUT DROP
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    iptables -t nat -A POSTROUTING -o ${WAN_IF} -j MASQUERADE
    for i in ${LAN_IFS}; do
    iptables ...
    ...


    J'imaginais "traduire" le fichier ci-dessus en un fichier équivalent basé
    sur des commandes firewall-cmd sans paramètre de persistance (puisque le script est exécuté à chaque démarrage mais c'est à discuter).

    Avant de me jeter dans la bataille, je serai très curieux de recevoir vos conseils et suggestions sur des méthodes alternatives.

    Slts

    <div dir="ltr"><div>Bonjour,</div><div><br></div><div>J&#39;ai découvert firewalld tout dernièrement sur une machine sous Bullseye.</div><div><br></div><div>J&#39;ai trouvé son utilisation assez intuitive avec son programme firewalld-cmd pour changer
    de façon temporaire ou persistante, la configuration du firewall.</div><div><br></div><div>Un point aussi très intéressant est le fait de fonctionner aussi bien avec iptables qu&#39;avec nftables.</div><div><br></div><div><br></div><div>Auparavant, j&#
    39;avais l&#39;habitude de consigner dans un scripts  exécutable /etc/network/if-pre-up.d/fw, une longue liste de commandes iptables comme suit:</div><div><br></div><div>#!/bin/sh<br></div><div><br></div><div>WAN_IF=ens9</div><div>LAN_IFS=&quot;ens3.3
    ends3.15&quot;<br></div><div><br></div><div><br></div><div>iptables -F<br>iptables -X<br>iptables -t nat -F<br>iptables -t mangle -F<br><br>iptables -P INPUT DROP<br>iptables -P FORWARD ACCEPT<br>iptables -P OUTPUT ACCEPT</div><div><br></div><div>
    iptables -t nat -A POSTROUTING -o ${WAN_IF} -j MASQUERADE</div><div>for i in ${LAN_IFS}; do</div><div>  iptables ...<br></div><div>...</div><div><br></div><div><br></div><div>J&#39;imaginais &quot;traduire&quot; le fichier ci-dessus en un fichier é
    quivalent basé sur des commandes firewall-cmd sans paramètre de persistance (puisque le script est exécuté à chaque démarrage mais c&#39;est à discuter).<br></div><div><br></div><div>Avant de me jeter dans la bataille, je serai très curieux de
    recevoir vos conseils et suggestions sur des méthodes alternatives.</div><div><br></div><div>Slts<br></div></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)