Bonjour.

Je suis en cours d'écriture du tutoriel : http://doc.fedora-fr.org/wiki/Parefeu_-_firewall_-_FirewallD.

firewalld est tout nouveau, même si présent depuis F15, donc pas exempt de bug, de mauvaise utilisation potentielle, pas encore éprouvé "en production", et va certainement générer des questions.

J'ouvre ce sujet pour que nous puissions partager sur firewalld, si nécessaire.
Je me permet de "récupérer" une première remarque d'un autre sujet :
sanzo1.2 wrote:...
Vraiment du mal a me faire a firewallD... Pas assez restrictif en sorti pour moi. Ou en tout cas c'est pas évident avec l'interface graphique... Va devoir me chercher de la doc... Peut pas me permettre de laisser mes enfants surffer sur le net avec Fedora 18. Ou soit je repasse sur iptables. :-?
Par défaut, effectivement, tout ce qui est en OUTPUT est ouvert.

Tu peux essayer en changeant la cible par défaut de la zone que tu utilise : http://doc.fedora-fr.org/wiki/Parefeu_-_firewall_-_FirewallD#Ic.C3.B4nes_zones_-_configuration_permanente.

Je n'ai pas testé, mais logiquement tout sera fermé.
Vérifie bien si ça n'a rien cassé en INPUT.

Merci de nous faire un retour.
J'ai déjà éssayé de changer la cible par défault de la zone mais sa ne fonctionne pas chez moi. Quand je coche "cible par défault", sa repasse en accept après avoir valider.Tout est fermé seuleument quand je coche "Immuable" et choisi drop/reject sans cocher "cible par défault". Mais bien évidement je ne peux plus choisir les service ou port que je veux...J'ai aussi parfois des rapport d'erreur pour firewallD maintenant quand je change de zone. j'ai déjà dût trop bidouiller dedans...
En tout cas, c'est un peu la galère... dans le pire des cas ou pour des raisons pratiques, je repasserais peut-être sur netfilter/iptables plus tard... En même temps, j'ai un autre beug chiant, voir inquiètant... Parfois quand je veux éteindre mon pc, l'os me le refuse sous prétexte qu'il y ait un autre utilisateur de connecter... Obliger de rentrer le mot de passe utilisateurs. En bref, sa beug chez moi... Sa a aucun rapport, je sais...
sanzo1.2 wrote:J'ai déjà éssayé de changer la cible par défault de la zone mais sa ne fonctionne pas chez moi. Quand je coche "cible par défault", sa repasse en accept après avoir valider.Tout est fermé seuleument quand je coche "Immuable" et choisi drop/reject sans cocher "cible par défault". Mais bien évidement je ne peux plus choisir les service ou port que je veux...J'ai aussi parfois des rapport d'erreur pour firewallD maintenant quand je change de zone. j'ai déjà dût trop bidouiller dedans...
J'ai fais quelques tests sur une installation propre. Effectivement, ça n'a pas l'air fonctionnel ...
J'ai essayé avec une zone existante et avec une nouvelle zone.

J'ai posé la question sur la liste utilisateur de firewalld. Wait & see.
Sa me rassure alors, je suis pas le seul... Je commence à penser que l'interface graphique n'a pas vocation à avoir autant d'option... il a peut-être vocation que pour une utilisation simple et peu strict en sortie
Nouveau test, j'ai crée une zone directement via le fichier XML.
Puis, dans firewall-config j'ai rechargé la configuration et j'ai eu un plantage avec une erreur iptables ...
C'est surtout que c'est plein de bug.
Clairement, je ne conseille pas de l'utiliser avec confiance ...
Je veux dire par là qu'il faut vérifier à chaque fois les règles effectivement appliquées en utiliser les commandes iptables -v -L et ip6tables -v -L. Bref, ce n'est pas encore à mettre dans toutes les mains ...
Pareil chez moi... Le voir par défaut alors que sa beug beaucoup, c'est pas rassurant. En même temps firewallD est encore jeune (par raport a netfilter/iptables). Je pense que pour le moment, je vais attendre que se soit plus stable et qu'il ait une bonne doc dessus(en ligne de commande).
Ce matin, j'ai basculé sur netfilter/iptables. au moment de configurer iptables, je découvre que la commande: "-m state --state" est obsolète! le choc pour moi XD :lol: . apperement je dois utiliseer maintenant "-m conntrack --ctstate".
7 jours plus tard
philippe_PMA wrote:
sanzo1.2 wrote:J'ai déjà éssayé de changer la cible par défault de la zone mais sa ne fonctionne pas chez moi. Quand je coche "cible par défault", sa repasse en accept après avoir valider.Tout est fermé seuleument quand je coche "Immuable" et choisi drop/reject sans cocher "cible par défault". Mais bien évidement je ne peux plus choisir les service ou port que je veux...J'ai aussi parfois des rapport d'erreur pour firewallD maintenant quand je change de zone. j'ai déjà dût trop bidouiller dedans...
J'ai fais quelques tests sur une installation propre. Effectivement, ça n'a pas l'air fonctionnel ...
J'ai essayé avec une zone existante et avec une nouvelle zone.

J'ai posé la question sur la liste utilisateur de firewalld. Wait & see.
Cela a été corrigé upstream.
Donc, pas au niveau de la distribution, mais au niveau du projet (si j'ai bien tout compris).
Cela devrait bientôt arriver via les mises à jour (yum dnf ou autre).

De ce que j'ai compris, contrairement aux autres modifications dans la configuration permanente, une fois la modification faites il faut recharger les règles pour que ce soit effectivement pris en compte.
8 jours plus tard
Bonne nouvelle pour firewallD! Pour le moment, je vais me contenter de netfilter/iptables et attendre de voir l'évolution de firewallD avant de sauter dessus.