Fedora-Fr - Communauté francophone Fedora - Linux

Communauté francophone des utilisateurs de la distribution Linux Fedora.

  

Dernière news : Assemblée Générale de Borsalinux-fr le 20 janvier à Paris

#1 29/09/2017 11:03:30

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

[Résolu] Configuration dynamique de firewalld (à la conf.d)

Hello,

Ptin ça faisait un moment que j'étais plus venu ici ! Ça fait plaisir de voir que certains anciens sont toujours là smile

Bref, je cherche un moyen de faire ouvrir des services à firewalld à travers des fichiers de service selon leur présence. Par exemple, je veux que sur telle machine le FTP soit ouvert : je pose ftp.xml dans /etc/firewalld/services, je reload le daemon et le tour est joué. Là je ne peux pas étant donné qu'il faut également que j'ajoute un tag <service> dans ma zone public.xml (et j'ai pas envie de toucher aux fichiers de zones).

Je ne sais pas du tout si ce que je cherche à faire est faisable, mais je n'arrive pas à trouver de doc sur ça sur les Internets (d'ailleurs la doc de firewalld de manière générale n'est pas super claire je trouve).
Si vous avez des idées, je suis preneur !

Merci.


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#2 29/09/2017 13:02:57

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 1 963

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Pour la doc tu peux jeter un oeil ici https://doc.fedora-fr.org/wiki/Parefeu_ … _FirewallD


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#3 29/09/2017 13:04:56

philippe_PMA
Membre
Inscription : 06/03/2006
Messages : 1 963

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Sans trop y réfléchir, j'aurais tendance à dire que vu que tes modifs vont là /etc/firewalld/ et qu'il reste toujours la config par défaut là /usr/lib/firewalld/ tu peux prendre des risques sur tes modifs.


Gigabyte Z77-D3H+core i5 3550+8Go DDR3-12800 (1333MHz) / ASUS P5B+Quad core Q9550+CG ASUS X1950 PRO+8Go DDR2-5300 (667MHz).
Boitier Antec remote fusion black+ASUS P5Q-EM+core 2 duo 6600+Intel GMA X4500HD+2Go DDR2-5300 (667MHz).
ASUS EeePC 1005PE, CPU atom N450, 2Go SoDIMM DDR2-5300 (667MHz).

Hors ligne

#4 29/09/2017 16:20:37

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Hello,

Non tu as mal compris je pense : je veux déclarer de nouveaux services et faire en sorte que firewalld les détecte et les active, sans passer par firewall-cmd. Comme par exemple tu pourrais dropper une conf Nginx / Apache dans son conf.d et reload le service pour qu'il détecte les changements.

Là je dois mettre ces services dans /etc/firewalld/services ET écrire en dur dans le fichier de zone que je veux les activer.
Je parle d'une utilisation serveur de Fedora bien entendu.

Si c'est pas possible c'est pas grave, c'est juste que je n'arrive pas à trouver si c'est possible ou pas.


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#5 29/09/2017 16:49:34

Nicosss
Membre
Lieu : Isère
Inscription : 05/03/2007
Messages : 3 695
Site Web

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Je pense que ta première façon de faire est la bonne "malheureusement".

Après le risque est minime à mon goût car au pire c'est un numéro de port ou une description.
De plus si tu retires ton/tes fichiers de /etc/firewalld/services/... alors ce seront ceux de /usr/lib/firewalld/ qui reprendront le relais... sauf si c'est un fichier qui n'existe pas dans les services de base et auquel cas Firewalld ne va pas aimer et te faire une erreur.

Pour le coup je complète avec ton dernier post que je viens de voir.
Effectivement tu ne pourras pas sauf à passer par firewall-cmd. Mais est-ce gênant ? Sinon c'est script ou solution type Ansible par exemple s'il y a un gros parc.


F27_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5570 Fanless - 8Go RAM /&/ F27_64 Gnome-Shell - GA-M55S-S3 - Athlon 64 X2 4200+ - GeminII - Ati HD5750 Fanless - 3Go RAM
F27_32 - 939A785GMH/128M - Athlon 64 4000+ - 2Go RAM /&/ F27_32 Gnome-Shell - EeePC 701 - 2Go RAM

Hors ligne

#6 29/09/2017 17:53:13

Valdes
Dovahkiin
Lieu : Paris
Inscription : 04/09/2007
Messages : 2 131

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Justement, je déploie ma conf via Ansible. J'ai un role "common" qui déploie ma zone publique partout et certains rôles qui déploient des services sur certaines machines. Je ne peux donc pas écraser dans chaque rôle le fichier de zone ; avoir un firewalld qui se base sur la présence ou non de fichiers pour activer des services serait donc bien plus pratique (et propre) (un fichier de zone commun à tous et des services en plus selon les machines).

Mais tant pis, je vais utiliser le module firewalld d'Ansible pour activer à la volée les services requis dans chaque rôle et garder une zone publique commune à tous.

Merci !


Fedora 26 x86_64 sur Dell Latitude E7470
Prends le temps d'écrire correctement, et on prendra le temps de répondre correctement.

Hors ligne

#7 29/09/2017 21:06:38

Nicosss
Membre
Lieu : Isère
Inscription : 05/03/2007
Messages : 3 695
Site Web

Re : [Résolu] Configuration dynamique de firewalld (à la conf.d)

Effectivement, il est plus simple d'utiliser le module firewalld d'Ansible https://docs.ansible.com/ansible/latest … odule.html.

Par contre si tu dois ajouter une zone, il faudra passer par une commande car le module ne semble pas gérer la création de zone

- command: firewall-cmd --permanent --new-zone <zone_name>

F27_64 Gnome-Shell - GA-990FXA-UD3 - Phenom II X6 1100T - NH-D14 - Ati HD 5570 Fanless - 8Go RAM /&/ F27_64 Gnome-Shell - GA-M55S-S3 - Athlon 64 X2 4200+ - GeminII - Ati HD5750 Fanless - 3Go RAM
F27_32 - 939A785GMH/128M - Athlon 64 4000+ - 2Go RAM /&/ F27_32 Gnome-Shell - EeePC 701 - 2Go RAM

Hors ligne

Pied de page des forums