firewalld

firewalld est le gestionnaire de pare-feu dynamique par défaut sur de nombreuses distributions Linux (comme RHEL, CentOS, Fedora). Contrairement à son prédécesseur iptables, il permet de modifier les règles de sécurité sans couper les connexions actives et utilise un concept très puissant : les zones.

1. le concept clé : les zones

au lieu de gérer une liste immense de règles, firewalld classe le trafic dans des zones. chaque zone possède un niveau de confiance différent.

• public : la zone par défaut. on n’accepte que ce que l’on autorise explicitement (ex: ssh, http).
• trusted : on accepte tout le trafic (à utiliser pour votre réseau interne).
• drop : on rejette tout ce qui rentre sans même répondre.
• internal / work : pour les réseaux où vous avez confiance en vos collègues.

2. les commandes essentielles (firewall-cmd)

la commande de manipulation est firewall-cmd.

3. autoriser du trafic (exemples concrets)

ouvrir un service standard

si vous installez un serveur web pour votre LMS :

sudo firewall-cmd --add-service=http --permanent

sudo firewall-cmd --add-service=https --permanent

ouvrir un port spécifique

si vous utilisez un port personnalisé (ex: 8080) :

sudo firewall-cmd --add-port=8080/tcp --permanent

bannir une adresse ip

sudo firewall-cmd --add-source=1.2.3.4 --zone=drop --permanent

4. l’option cruciale : --permanent

lorsque vous tapez une commande firewall-cmd :

1. sans --permanent : la règle s’applique immédiatement mais disparaît au prochain redémarrage (idéal pour tester sans s’enfermer dehors).
2. avec --permanent : la règle est enregistrée mais ne s’appliquera qu’après un firewall-cmd --reload.

la règle d’or : testez d’abord sans l’option, et si tout fonctionne, validez avec --permanent et un reload.

5. comparaison : firewalld vs ufw vs iptables