Le 14 septembre 2017, nous avons publié une version actualisée de notre Politique de confidentialité. En utilisant video2brain.com vous vous engagez à respecter ces documents mis à jour. Veuillez donc prendre quelques minutes pour les consulter.

Linux : Les réseaux

Gérer le filtrage

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Dans cette vidéo, vous apprendrez à vous servir de l'outil de gestion du filtrage FirewallD, propre aux distributions CentOS et RHEL (Red Hat Enterprise Linux).
06:30

Transcription

En ce qui concerne le filtrage sur les distributions Red Hat, CentOS et Fedora, l'approche est un petit peu différente. Elle est différente parce que les gens de chez Red Hat, qui ont développé ça, ils ont voulu faire une interface plus pratique à utiliser que Iptables. Alors, c'est toujours Iptables qui fonctionne derrière. C'est toujours Iptables qui permet de configurer Netfilter, mais par contre on a une autre commande qui est la commande firewall -cmd qui, elle, va gérer, va piloter, alors je vais mettre le sudo devant pour pouvoir l'utiliser, qui elle va gérer et va interroger un service, un démon qui tourne, qui s'appelle firewallD, qui va avoir comme rôle de s'occuper du filtrage. Je vais rentrer une première ligne qui va être intéressante pour comprendre la philosophie de firewallD qui va être firewalld --get-active-zone Alors, qu'est ce que ça veut dire ? Ca veut dire qu'en réalité, firewallD, je rentre mon mot de passe FirewallD est basé sur l'idée de zone réseau et les zones réseau correspondent en quelque sorte à des profils dans lesquels on va se retrouver. On peut mettre ça en parallèle avec les réseaux domestiques ou les réseaux de travail ou les réseaux publics qu'on peut rencontrer sous Window. On va avoir des préconfigurations qui vont être effectuées pour ces différentes zones-là. Alors, par défaut, ici on le voit, sur ma CentOs, mon interface enp0s3 est dans la zone publique. A quoi correspondent ces différentes zones-là ? Ces différentes zones-là, il y en a un certain nombre qui sont prédéfinies, on peut créer nos propres zones, il y en a déjà un certain nombre de prédéfinies Par exemple, je vais pas toutes les détailler, je vais aller relativement vite, la zone drop, ça veut dire que si votre interface réseau est dans la zone drop tout ce qui arrive sur cette carte, on fera, comme si on ne l'avait pas entendu. Si elle est dans la zone block, tout ce qui arrive sur cette interface, quelle que soit l'adresse IP on renvoie une réponse en disant qu'il y a personne de l'autre côté Public, c'est la valeur par défaut, globalement on ne fait pas confiance aux ordinateurs qui sont présents sur ce réseau-là. Et on n'acceptera les connexions, uniquement de la part des machines qu'on aura soigneusement sélectionnées. External, c'est ce qui est utilisé notamment quand on va vouloir mettre en place du masquerading. DMZ, c'est utilisé quand notre machine joue le rôle d'un routeur firewall avec une branche, une carte réseau dans une zone démilitarisée. L'environnement Work, l'environnement Home se ressemblent beaucoup. Globalement, ce sont des environnements ou des réseaux sur lesquels on estime que les machines qui sont connectées sur ce réseau-là ne nous veulent pas de mal. On ne sera pas très violent dessus. Mais par contre, les connexions ne seront autorisées que de la part des machines qu'on aura soigneusement sélectionnées. La même chose avec Internal, ça ressemble beaucoup. On fini avec Trusted, ça veut dire qu'on fait confiance. Là, par contre, on va déclarer qu'on fait totalement confiance sur toutes les machines qui sont sur ce réseau-là. On n'aura pas besoin de rajouter une règle pour autoriser une connexion entrante. Comment je vais utiliser ça sur ma machine ? Pour utiliser ça, je vais appeler ma commande firewall -cmd et je vais lui demander que pour la zone publique, zone=public, il m'affiche toutes les règles qui sont présentes. --list all Si je fais ça, il me dit la chose suivante, la zone publique et la zone active correspondent à l'interface enp0s3, je pourrais en avoir plusieurs ici. Je vais autoriser les services dhcpv6, c'est le dhcp pour ipv6 et ssh. Et voilà. Pour le moment, j'ai juste ça de présent. Ce que je peux faire, c'est choisir de rajouter, par exemple, une règle autorisant les gens à venir se connecter sur un serveur web qui tournerait sur ma machine, par exemple. Ca va rajouter une règle ici, et pour le moment, avec firewallD, si je ne rajoute pas la règle, les gens ne pourront pas se connecter sur le port du serveur web. Pour ça, c'est encore une commande de firewall -cmd sudo firewall -cmd et je vais dire que pour ma zone publique, je rajoute un service qui est HTTP, qui est le protocole du serveur web. Je vais effacer ma page et je vais lancer cette commande-là. Attention, si je lance cette commande-là, je vais temporairement accepter les connexions en HTTP. Si je veux ajouter ces règles-là de manière permanente, je vais devoir ajouter --permanent à la fin. Donc, si je rappelle ma commande précédente pour lister toutes les zones, j'ai un certain nombre de règles, et je ne vois pas ma règle HTTP. Pourquoi je ne la vois pas ? Parce que j'ai rajouté une règle dans la configuration, mais, je n'ai pas rechargé la configuration. Ce que je vais faire maintenant, c'est que je vais recharger la configuration. L'intérêt de faire ça, c'est que tu ne vas pas tout recharger les règles qui ont été définies, il va juste rajouter les règles qu'on a changées. Donc, si je fais ça, Success, si je liste les règles, cette fois, j'ai ma règle HTTP qui a été rajoutée ici, et cette fois, on va accepter les connexions pour le service HTTP. Attention, là, ça correspond à des services préétablis. Si je veux définir des règles correspondant à un numéro de port en particulier, plutôt qu'à un service dont je connais le nom, la syntaxe est légèrement différente. Je vais effacer ma page pour vous donner un exemple avec le port 123, par exemple. Je vais la rajouter temporairement, je vais pas la rajouter de manière permanente. Je vais toujours faire mon sudo firewall -cmd --zone=public ça, ça ne change pas. Et cette fois je vais ajouter un port, le port que je vais rajouter par exemple, c'est le port 123 en UDP. Il y a toujours soit TCP, soit UDP d'associé au numéro de port. Là, je rajoute le port numéro 123 en UDP. Si je rentre cette commande-là, success, Si je réaffiche ici toutes mes règles, je vais voir que le port 123 en UDP a été rajouté et fonctionne. J'ai pas besoin de recharger la configuration car ce n'est pas une règle permanente. Il l'a juste ajoutée temporairement ici. Voilà un petit peu comment est construit le filtrage avec les distributions CentOS, Red Hat et même Fedora. Je peux regarder par curiosité, si jamais je fais iptables -L, derrière, il a généré différentes règles à l'aide du iptables. Il a fait plein de choses, on voit qu'il y a pas mal de lignes, mais c'est toujours iptables qui est utilisé derrière.

Linux : Les réseaux

Maîtrisez la configuration des réseaux sur Linux. Mettez en place une configuration adaptée aux serveurs, et abordez le Network Manager, plus adapté aux postes de travail.

2h20 (26 vidéos)
Aucun commentaire n´est disponible actuellement
 
Thématiques :
IT
Administration réseau
Spécial abonnés
Date de parution :7 mars 2017

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !