1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • =?UTF-8?Q?firewalld_=3A_quand_le_service_dhcp_est=2Dil_n=C3=A9cessaire?

    From Olivier@21:1/5 to All on Tue Dec 21 10:50:01 2021
    Bonjour,

    Je découvre firewalld et sa configuration. Celle-ci comprend, si j'ai bien compris, un paramètre nommé services qui correspond à une liste de couples port-protocole autorisés entre un membre d'une zone et la machine qui
    héberge firewalld (équivalent de INPUT dans le vocabulaire IPTables).

    Quand j'installe un serveur ISC-DHCP sur la machine hébergeant firewalld,
    la configuration ci-après semble suffisante pour que des clients (connectés par l'interface ens9) récupèrent une adresse.

    # firewall-cmd --info-zone=internal
    internal (active)
    target: default
    icmp-block-inversion: no
    interfaces: ens9
    sources:
    services: dhcpv6-client mdns samba-client ssh
    ports:
    protocols:
    forward: no
    masquerade: yes
    forward-ports:
    source-ports:
    icmp-blocks:
    rich rules:

    J'avais vaguement en tête que "les échanges DHCP ne pouvaient pas être contrôlés par IPTables car le DHCP utilise nécessairement des raw sockets qui contournent les moyens utilisés par IPTables pour appliquer des règles.

    Est-ce toujours le cas avec nftables/firewalld ?
    Quand le service dhcp est-il nécessaire ?
    Quel test (pas trop compliqué) me permettrait de répondre moi-même à cette question ?

    Slts

    <div dir="ltr"><div>Bonjour,</div><div><br></div><div>Je découvre firewalld et sa configuration. Celle-ci comprend, si j&#39;ai bien compris, un paramètre nommé services qui correspond à une liste de couples port-protocole autorisés entre un membre
    d&#39;une zone et la machine qui héberge firewalld (équivalent de INPUT dans le vocabulaire IPTables).<br></div><div><br></div><div>Quand j&#39;installe un serveur ISC-DHCP sur la machine hébergeant firewalld, la configuration ci-après semble
    suffisante pour que des clients (connectés par l&#39;interface ens9) récupèrent une adresse.</div><div><br></div><div># firewall-cmd --info-zone=internal<br>internal (active)<br>  target: default<br>  icmp-block-inversion: no<br>  interfaces: ens9<
      sources: <br>  services: dhcpv6-client mdns samba-client ssh<br>  ports: <br>  protocols: <br>  forward: no<br>  masquerade: yes<br>  forward-ports: <br>  source-ports: <br>  icmp-blocks: <br>  rich rules: <br></div><div><br></div><div>J&#
    39;avais vaguement en tête que &quot;les échanges DHCP ne pouvaient pas être contrôlés par IPTables car le DHCP utilise nécessairement des raw sockets qui contournent les moyens utilisés par IPTables pour appliquer des règles.</div><div><br></div>
    <div>Est-ce toujours le cas avec nftables/firewalld ?<br></div><div>Quand le service dhcp est-il nécessaire ?</div><div>Quel test (pas trop compliqué) me permettrait de répondre moi-même à cette question ?</div><div><br></div><div>Slts<br></div><div>
    <br></div></div>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)