Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » CentOS » CentOS 5, 6 et 7 » LCF300 - Présentation de la Formation » LCF305 - Gestion du Pare-feu

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
elearning:workbooks:centos:6:avance:l106 [2020/03/09 13:59] – créée adminelearning:workbooks:centos:6:avance:l106 [2023/02/15 15:55] (Version actuelle) admin
Ligne 1: Ligne 1:
 ~~PDF:LANDSCAPE~~ ~~PDF:LANDSCAPE~~
 +
 +Version : **2021.01**
  
 Dernière mise-à-jour : ~~LASTMOD~~ Dernière mise-à-jour : ~~LASTMOD~~
  
-======LRF303 - Gestion du Système X et de l'Accès Universel======+======LCF305 - Gestion du Pare-feu======
  
-=====X Window System=====+=====Contenu du Module=====
  
-L'architecture graphique de Linux est **X Window System**, aussi appelé **X Window** ou simplement **X**. **X** est responsable de la gestion du **GUI** (//Graphical User Interface//). En autres termes, **X** est responsable de dessiner et gérer les éléments tels :+  * **LCF305 - Gestion du Pare-feu** 
 +    Contenu du Module 
 +    Les Problématiques 
 +      L'IP Spoofing 
 +      Déni de Service (DoS) 
 +      SYN Flooding 
 +      Flood 
 +    Le Contre-Mesure 
 +      Le Pare-feu Netfilter/iptables 
 +      * LAB #1 - Configuration par Scripts sous RHEL/CentOS 6 et versions Antérieures 
 +      * LAB #2 - La Configuration par firewalld sous RHEL/CentOS 7 
 +        La Configuration de Base de firewalld 
 +        La Commande firewall-cmd 
 +        La Configuration Avancée de firewalld 
 +        Le mode Panic de firewalld
  
-  * Fenêtres, +=====Les Problématiques=====
-  * Boutons, +
-  * Menus, +
-  * Curseur de souris, +
-  * etc.+
  
-**X** est une application client/serveur. +====L'IP Spoofing====
  
-Il existe trois versions de :+L'IP Spoofing consiste en faire croire à un serveur que sa machine possède une adresse IP autre que celle réellement attribuée. Le but de cette opération est de se placer en tant que point de passage obligatoire des paquets envoyés entre le serveur et le vrai //propriétaire// de l'adresse IP spoofée. Le mécanisme est la suivante :
  
-  * **[[http://www.xfree86.org|XFree86]]**+  * L'attaquant change son adresse IP en prenant une à laquelle le serveur cible fera confiance
-    un logiciel libre utilisé par la majorité des distributions jusqu'en 2004.  +  L'attaquant envoie une requête au serveur en stipulant une route de communication qui passe par l'adresse IP réelle de l'attaquant, 
-  * **[[http://www.x.org/wiki/|X.orgX11]]**+  * L'attaquant reprend son adresse IP réelle
-    un logiciel libre utilisé depuis les modifications de la licence de XFree86 en 2004. La version 6.7.0 était basé sur la version 4.3.99 de XFree86. Depuis le développement est indépendant de son prédécesseur. +  Le serveur accepte la requête car elle provient d'une adresse IP à laquelle il peux faire confiance et renvoie une réponse en utilisant la route spécifiée par l'attaquant, 
-  * **[[http://www.xig.com|AcceleratedX]]**, +  * Le client utilise la route spécifiée par l'attaquant pour répondre au serveur.
-    * un logiciel commercial édité par la société **Xi Graphics** possedant sa propre base de pilotes graphiques.+
  
-====Configuration====+====Déni de Service (DoS)====
  
-IL existe plusieurs outils pour configurer le serveur X :+Une attaque de déni de service consiste à rendre inopérable une machine en lui envoyant une grande quantité de données inutiles. Un exemple de ce type d'attaque s'appelle un //ping flood// :
  
-  * **XFree86 configure** est la commande utilisé pour configurer un serveur X basé sur XFree86 4.x. Cette commande produit le fichier **/root/XF86Config.new** qui peut être configuré manuellement. +  * L'attaquant prend l'adresse IP de sa cible, 
-  * **Xorg configure** est la commande utilisé pour configurer un serveur X basé sur X.orgX11. Cette commande produit le fichier **/root/xorg.conf.new** qui peut être configuré manuellement.+  Il envoie ensuite un ping à une machine de diffusion, 
 +  * La machine de diffusion envoie ce même ping à un grand nombre de clients en spécifiant l'origine de la requête, 
 +  L'attaquant reprend son adresse IP d'origine, 
 +  Tous les clients renvoie une réponse au ping //en même temps// à la cible.
  
-<WRAP center round important> +====SYN Flooding====
-**Important** : Ces deux commandes doivent être utilisées quand le serveur X est arrêté. +
-</WRAP>+
  
-Deux outils qui ne bénéficient plus de support sont **xf86cfg** et **xorgcfg** sont parfois présents dans la distribution et peuvent être utilisés pour configurer le serveur X.+Le **SYN Flooding**, aussi appelé un //SYN-ACK Attack//, consiste à envoyer vers une cible de multiples paquets **SYN** très rapidement. La cible répond à chaque paquet reçu avec un paquet **ACK** et attend une réponse **ACK** de l'attaquant. A ce stade pour chaque ACK renvoyé par la cible, une connexion dite //semi-ouverte// existe entre les deux machines. La cible doit réserver une petite partie de sa mémoire pour chaque connexion semi-ouverte jusqu'au //time-out// de la dite semi-connexion. Si l'attaquant envoie très rapidement des paquets SYN, le système de time-out n'a pas la possibilité d'expirer les semi-connexions précédentes. Dans ce cas la mémoire de la cible se remplit et on obtient un //buffer overflow//.
  
-Dernièrement il existe des outils spécifiques à une distribution :+====Flood====
  
-  Red Hat, CentOS, Fedora : **system-config-display**.+Le **Flood** consiste à envoyer très rapidement des gros paquets **ICMP** vers la cible.
  
-<WRAP center round important> +=====Le Contre-Mesure=====
-**Important** : Les outils disponibles pour le serveur XFree86 version 3.3.6 et antérieure était **xf86config**, **Xconfigurator** ou **XF86Setup**. +
-</WRAP>+
  
-Les fichiers de configuration de chaque serveur X sont :+Le contre-mesure est principalement l'utilisation d'un pare-feu.
  
-  * **[[http://www.xfree86.org|XFree86]]** 4.x, +====Le Pare-feu Netfilter/iptables=====
-    * **/etc/X11/XF86Config4** ou **/etc/XF86Config4** ou **/etc/X11/XF86Config** ou **/etc/XF86Config**, +
-  * **[[http://www.xfree86.org|XFree86]]** 3.6.6 et antérieure, +
-    * **/etc/X11/XF86Config** ou **/etc/XF86Config**, +
-  * **[[http://www.x.org/wiki/|X.orgX11]]**, +
-    * **/etc/X11/xorg.conf** ou **/etc/xorg.conf**.+
  
-=====Gestionnaire de Fenêtres=====+**Netfilter** est composé de 5 //hooks// :
  
-**X** ne doit être confondue avec un **Gestionnaire de Fenêtres** (//Window Manager//). Le Gestionnaire de Fenêtres est responsable de la mise en page des élements fournis pas **X**. C'est pour cette raison que sous Linux il existe de nombreux Gestionnaires différents tels :+  NF_IP_PRE_ROUTING 
 +  NF_IP_LOCAL_IN 
 +  NF_IP_LOCAL_OUT 
 +  NF_IP_FORWARD 
 +  NF_IP_POSTROUTING
  
-  * KDE +Ces hooks sont utilisés par deux branchesla première est celle concernée par les paquets qui entrent vers des services locaux :
-  * GNOME,  +
-  * twm,  +
-  * IceWM,  +
-  * Rvwm,  +
-  * CDE,  +
-  * WindowMaker,  +
-  * Enlightenment,  +
-  * Xfce, +
-  * Afterstep +
-  * Compiz Fusion, +
-  * Fluxbox, +
-  * Openbox, +
-  * Metacity, +
-  * Blackbox, +
-  * Ion, +
-  * Wmii, +
-  * etc.+
  
-Les Gestionnaires les plus connus sont :+  * NF_IP_PRE_ROUTING > NF_IP_LOCAL_IN > NF_IP_LOCAL_OUT > NF_IP_POSTROUTING
  
-  * **KDE** (//Kool Desktop Environment//) par **Matthias Ettrich** en **1996**, +tandis que la deuxième concerne les paquets qui traversent la passerelle:
-  * **GNOME** (//Gnu Network Object Model Environment//) par **Miguel de Icaza** et **Federico Mena** en **1997**,+
  
-=====Toolkits=====+  * NF_IP_PRE_ROUTING > NF_IP_FORWARD > NF_IP_POSTROUTING
  
-Chaque Gestionnaire utilise une bibliothèque graphique contenant des fonctions "toutes faites" pour créer les éléments graphiques. Chaque elément pour le Gestionnaire lui même s'appelle un **Widget** (//**Wi**ndows Ga**dget**//) tandis que élément pour une fenêtre s'appelle simplement un **Gadget**.+Si IPTABLES a été compilé en tant que module, son utilisation nécessite le chargement de plusieurs modules supplémentaires en fonction de la situation:
  
-Une bibliothèque complète est appelée un **Widget Toolkit**. Le Toolkit le plus connu est **MOTIF**. Cependant **MOTIF** n'est pas libre. Pour cette raison les développeurs de Linux ont du concevoir des Toolkits ayant une licence libre.+  iptable_filter 
 +  iptable_mangle 
 +  iptable_net 
 +  etc
  
-Comme dans beaucoup de cas de développement sous Linux, il existe plusieurs Toolkits dont les deux les plus connus sont :+Netfilter est organisé en **tables**. La commande **iptables** de netfilter permet d'insérer des **policies** dans les **chaines**:
  
-  * **GTK** (//GIMP Toolkit//), programé en langage C et embarqué par défaut dans le Gestionnaire de Fenêtres **Gnome**, +  * La table **FILTER** 
-  * **QT** (//Cute//)programé en langage C++ et embarqué par défaut dans le Gestionnaire de Fenêtres **KDE**.+    La chaîne INPUT 
 +      Concerne les paquets entrants 
 +        Policies: ACCEPT, DROPREJECT 
 +    La chaîne OUTPUT 
 +      Concerne les paquets sortants 
 +        Policies: ACCEPTDROP, REJECT 
 +    La chaîne FORWARD 
 +      Concerne les paquets traversant le par-feu. 
 +        * Policies: ACCEPT, DROP, REJECT
  
-=====Freedesktop=====+Si aucune table n'est précisée, c'est la table FILTER qui s'applique par défaut.
  
-Afin d'assurer la possibilité d'utiliser une application développée avec GTK sur un système fonctionnant sous QT et vice-versa, les développeurs de GNOME et KDE ont créé ensemble le projet **Freedesktop**. Les développements issus de ce projet sont intégrés dans les deux Gestionnaires.+  * La table **NAT** 
 +    * La chaîne PREROUTING 
 +      * Permet de faire la translation d'adresse de destination 
 +        * Cibles: SNAT, DNAT, MASQUERADE 
 +    * La chaîne POSTROUTING 
 +      * Permet de faire la translation d'adresse de la source 
 +        Cibles: SNAT, DNAT, MASQUERADE 
 +    Le cas spécifique OUTPUT 
 +      Permet la modification de la destination des paquets générés localement
  
-=====Display Manager=====+  * La table **MANGLE** 
 +    * Permet le marquage de paquets générés localement (OUTPUT) et entrants (PREROUTING)
  
-Le **Display Manager** est chargé de gérer les connexions locales et à distance, les authentifications et les ouvertures de sessions. De ce fait, Le Display Manager est l'équivalent des services console **init**, **getty** et **login** réunis.+Les **policies** sont:
  
-Pour les connexions à distance le Display Manager utilise le protocole **XDMCP** (//X Display Manager Control Panel//)). Le fichier de configuration de XDMCP est **/etc/X11/xdm/xdmconfig**.+  ACCEPT 
 +    Permet d'accepter le paquet concerné 
 +  DROP 
 +    Permet de rejeter le paquet concerné sans générer un message d'erreur 
 +  REJECT 
 +    Permet de rejeter le paquet concerné en générant une message d'erreur
  
-====XDM, GDM et KDM====+Les **cibles** sont:
  
-Le Display Manager par défaut, compatible avec tous les serveurs **X**, est **XDM**. Les deux autres Display Managers les plus connus sont :+  SNAT 
 +    Permet de modifier l'adresse source du paquet concerné 
 +  DNAT 
 +    Permet de modifier l'adresse de destination du paquet concerné 
 +  MASQUERADE 
 +    Permet de remplacer l'adresse IP privée de l'expéditeur par un socket public de la passerelle.
  
-  * **GDM** pour GNOME, +IPTABLES peut être configuré soit par des outils tels shorewallsoit en utilisant des lignes de commandes ou un scriptDans ce dernier cas, la ligne prend la forme:
-  * **KDM** pour KDE, +
-  * **LightDM** de Canonical.+
  
-Les deux premiers sont essentiellement des XDM avec des fonctionnalités supplémentaires telles :+  # IPTABLES --action CHAINE --option1 --option2
  
-  * le passage d'un utilisateur à un autre, +Les actions sont:
-  * la liste des utilisateurs, +
-  * le choix d'un gestionnaire de fenêtres, +
-  * la possibilité d'une autoconnexion, +
-  * la liste des serveurs **X** distants, +
-  * etc.+
  
-====LightDM====+^  Action  ^  Abréviation  ^  Déscription 
 +| - -append |  -A  | Ajouter une règle à la fin de la chaîne spécifiée |  
 +| - -delete |  -D  | Supprimer une règle en spécifiant son numéro ou la règle à supprimer |  
 +| - -replace |  -R  | Permet de remplacer la règle spécifée par son numéro |  
 +| - -insert |  -I  | Permet d'insérer une règle à l'endroit spécifié |  
 +| - -list |  -L  | Permet d'afficher des règles | 
 +| - -flush |  -F  | Permet de vider toutes les règles d'une chaîne |  
  
-LightDM est un gestionnaire d'affichage conçu pour être une alternative relativement légère et très personnalisable à GDM par Robert Ancell, de Canonical. LightDM possède les caractéristiques suivantes :+Les options sont:
  
-  * Pas de dépendances de Gnome +^  Option  ^  Abréviation  ^  Déscription 
-  * Utilisation de webkit pour le rendu des thèmes +| - -protocol |  -p  | Permet de spécifier un protocol - tcp, udp, icmp, all |  
-  * Support de Toolkits Gtk et Qt+| - -source |  -s  | Permet de spécifier une adresse source |  
 +| - -destination |  -d  | Permet de spécifier une adresse de destination |  
 +| - -in-interface |  -i  | Permet de spécifier une interface réseau d'entrée |  
 +| - -out-interface |  -o  | Permet de spécifier une interface réseau de sortie | 
 +| - -fragment |  -f  | Permet de ne spécifier que les paquets fragmentés |   
 +| - -source-port |  -sport  | Permet de spécifier un port source ou une plage de ports source |  
 +| - -destination-port |  -dport  | Permet de spécifier un port de destination ou une plage de ports de destination |  
 +| - -tcp-flags |  s/o  | Permet de spécifier un flag TCP à matcher - SYN, ACK, FIN, RST, URG, PSH, ALL, NONE |  
 +| - -icmp-type |  s/o  | Permet de spécifier un type de paquet ICMP | 
 +| - -mac-source |  s/o  | Permet de spécifier une adresse MAC | 
  
-Sous RHEL/CentOS 7, LightDM n'est pas installé par défaut et se trouve dans le dépôt EPEL. Installez donc le dépôt :+Les options spécifiques à NET sont:
  
-<code> +- -to-destination |  s/o  | Permet de spécifier l'adresse de destination d'une translation |  
-[root@centos7 ~]# yum install -y epel-release +- -to-source |  s/o  | Permet spécifier l'adresse source d'une translation | 
-Loaded plugins: fastestmirror, langpacks +
-Loading mirror speeds from cached hostfile +
- * base: fr.mirror.babylon.network +
- * extras: fr.mirror.babylon.network +
- * updates: fr.mirror.babylon.network +
-Resolving Dependencies +
---> Running transaction check +
----> Package epel-release.noarch 0:7-6 will be installed +
---> Finished Dependency Resolution+
  
-Dependencies Resolved+Les options spécifiques aux LOGS sont:
  
-================================================================================ +| - -log-level |  s/o  | Permet de spécifier le niveau de logs |  
- Package                Arch             Version         Repository        Size +| - -log-prefix |  s/o  | Permet de spécifier un préfix pour les logs |
-================================================================================ +
-Installing: +
- epel-release           noarch           7-6             extras            14 k+
  
-Transaction Summary +L'option spécifique au STATEFUL est:
-================================================================================ +
-Install  1 Package+
  
-Total download size: 14 k +- -state |  s/ | Permet de spécifier l'état du paquet à vérifier | 
-Installed size: 24 k +
-Downloading packages: +
-epel-release-7-6.noarch.rpm                                |  14 kB   00:01      +
-Running transaction check +
-Running transaction test +
-Transaction test succeeded +
-Running transaction +
-  Installing : epel-release-7-6.noarch                                      1/1  +
-  Verifying  : epel-release-7-6.noarch                                      1/1 +
  
-Installed: +Ce dernier cas fait référence au STATEFUL. Le STATEFUL est la capacité du par-feu à enregistrer dans une table spécifique, l'état des différentes connexionsCette table s'appelle une **table d'état**. Le principe du fonctionnement de STATEFUL est simple, à savoir, si le paquet entrant appartient à une communication déjà établie, celui-ci n'est pas vérifié.
-  epel-release.noarch 0:7-6                                                     +
  
-Complete! +Il existe 4 états:
-</code>+
  
-Installez ensuite LightDM :+  * NEW 
 +    * Le paquet concerne une nouvelle connexion et contient donc un flag SYN à 1 
 +  * ESTABLISHED 
 +    * Le paquet concerne une connexion déjà établie. Le paquet ne doit contenir **ni** flag SYN à 1, **ni** flag FIN à 1 
 +  * RELATED 
 +    * Le paquet est d'une connexion qui présente une relation avec une autre connexion 
 +  * INVALID 
 +    * La paquet provient d'une connexion anormale.
  
-<code> +====LAB #Configuration par Scripts sous RHEL/CentOS et versions Antérieures====
-[root@centos7 ~]yum install -y lightdm +
-Loaded plugins: fastestmirror, langpacks +
-epel/x86_64/metalink                                      23 kB     00:00      +
-epel                                                     | 4.3 kB     00:00      +
-(1/3): epel/x86_64/group_gz                                | 170 kB   00:00      +
-(2/3): epel/x86_64/updateinfo                              | 588 kB   00:00      +
-(3/3): epel/x86_64/primary_db                              | 4.3 MB   00:01      +
-Loading mirror speeds from cached hostfile +
- * base: fr.mirror.babylon.network +
- * epel: mirrors.ircam.fr +
- * extras: fr.mirror.babylon.network +
- * updates: fr.mirror.babylon.network +
-Resolving Dependencies +
---> Running transaction check +
----> Package lightdm.x86_64 0:1.10.6-4.el7 will be installed +
---> Processing Dependency: lightdm-greeter 1.2 for package: lightdm-1.10.6-4.el7.x86_64 +
---> Processing Dependency: lightdm-gobject(x86-64) 1.10.6-4.el7 for package: lightdm-1.10.6-4.el7.x86_64 +
---> Running transaction check +
----> Package lightdm-gobject.x86_64 0:1.10.6-4.el7 will be installed +
----> Package lightdm-gtk.x86_64 0:1.8.5-19.el7 will be installed +
---> Processing Dependency: lightdm-gtk-common 1.8.5-19.el7 for package: lightdm-gtk-1.8.5-19.el7.x86_64 +
---> Running transaction check +
----> Package lightdm-gtk-common.noarch 0:1.8.5-19.el7 will be installed +
---> Finished Dependency Resolution+
  
-Dependencies Resolved+Dans l'exemple suivant, expliquez le fonctionnement du script en détaillant les règles écrites :
  
-================================================================================ +<file> 
- Package                   Arch          Version              Repository   Size +#!/bin/bash 
-================================================================================ +##################################### 
-Installing: +# proxy server IP 
- lightdm                   x86_64        1.10.6-4.el7         epel        190 k +PROXY_SERVER="192.168.1.2" 
-Installing for dependencies+# Interface connected to Internet 
- lightdm-gobject           x86_64        1.10.6-4.el7         epel         57 k +INTERNET="eth1" 
- lightdm-gtk               x86_64        1.8.5-19.el7         epel         58 k +# Interface connected to LAN 
- lightdm-gtk-common        noarch        1.8.5-19.el7         epel         57 k+LAN_IN="eth0" 
 +# Local Interface 
 +LOCAL="lo" 
 +# Squid port 
 +PROXY_PORT="8080" 
 +# DO NOT MODIFY BELOW 
 +# Clean old firewall 
 +iptables -F 
 +iptables -X 
 +iptables -t nat -F 
 +iptables -t nat -X 
 +iptables -t mangle -F 
 +iptables -t mangle -X 
 +# Load IPTABLES modules for NAT and IP conntrack support 
 +modprobe ip_conntrack 
 +modprobe ip_conntrack_ftp 
 +# For win xp ftp client 
 +modprobe ip_nat_ftp 
 +echo > /proc/sys/net/ipv4/ip_forward 
 +# Setting default filter policy 
 +iptables -P INPUT DROP 
 +iptables -P OUTPUT ACCEPT 
 +# Unlimited access to loop back 
 +iptables -A INPUT -i lo -j ACCEPT 
 +iptables -A OUTPUT -o lo -j ACCEPT 
 +# Allow UDP, DNS and Passive FTP 
 +iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j ACCEPT 
 +# set this system as a router for Rest of LAN 
 +iptables --table nat --append POSTROUTING --out-interface $INTERNET -j MASQUERADE 
 +iptables --append FORWARD --in-interface $LAN_IN -j ACCEPT 
 +# unlimited access to LAN 
 +iptables -A INPUT -i $LAN_IN -j ACCEPT 
 +iptables -A OUTPUT -o $LAN_IN -j ACCEPT 
 +# DNAT port 80 request comming from LAN systems to squid 3128 ($SQUID_PORT) aka transparent proxy 
 +iptables -t nat -A PREROUTING -i $LAN_IN -p tcp --dport 80 -j DNAT --to $PROXY_SERVER:$PROXY_PORT 
 +# iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128 
 +# if it is same system 
 +iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT --to-port $PROXY_PORT 
 +# DROP everything and Log it 
 +iptables -A INPUT -j LOG 
 +iptables -A INPUT -j DROP 
 +</file>
  
-Transaction Summary +====LAB #2 - La Configuration par firewalld sous RHEL/CentOS 7====
-================================================================================ +
-Install  1 Package (+3 Dependent packages)+
  
-Total download size: 362 k +firewalld est à Netfilter ce que NetworkManager est au réseaufirewalld utilise des **zones** des jeux de règles pré-définis dans lesquels sont placés les interfaces :
-Installed size: 970 k +
-Downloading packages: +
-warning: /var/cache/yum/x86_64/7/epel/packages/lightdm-1.10.6-4.el7.x86_64.rpm: Header V3 RSA/SHA256 Signature, key ID 352c64e5: NOKEY +
-Public key for lightdm-1.10.6-4.el7.x86_64.rpm is not installed +
-(1/4)lightdm-1.10.6-4.el7.x86_64.rpm                     | 190 kB   00:01      +
-(2/4): lightdm-gobject-1.10.6-4.el7.x86_64.rpm              57 kB   00:00      +
-(3/4): lightdm-gtk-1.8.5-19.el7.x86_64.rpm                  58 kB   00:00      +
-(4/4): lightdm-gtk-common-1.8.5-19.el7.noarch.rpm          |  57 kB   00:00      +
--------------------------------------------------------------------------------- +
-Total                                              179 kB/s | 362 kB  00:02      +
-Retrieving key from file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 +
-Importing GPG key 0x352C64E5: +
- Userid     : "Fedora EPEL (7) <epel@fedoraproject.org>" +
- Fingerprint: 91e9 7d7c 4a5e 96f1 7f3e 888f 6a2f aea2 352c 64e5 +
- Package    : epel-release-7-6.noarch (@extras) +
- From       : /etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-7 +
-Running transaction check +
-Running transaction test +
-Transaction test succeeded +
-Running transaction +
-  Installing : lightdm-gobject-1.10.6-4.el7.x86_64                          1/4  +
-  Installing : lightdm-gtk-common-1.8.5-19.el7.noarch                       2/4  +
-  Installing : lightdm-1.10.6-4.el7.x86_64                                  3/4  +
-  Installing : lightdm-gtk-1.8.5-19.el7.x86_64                              4/4  +
-  Verifying  : lightdm-gtk-common-1.8.5-19.el7.noarch                                                                                                               1/4  +
-  Verifying  : lightdm-gtk-1.8.5-19.el7.x86_64                                                                                                                      2/4  +
-  Verifying  : lightdm-1.10.6-4.el7.x86_64                                                                                                                          3/4  +
-  Verifying  : lightdm-gobject-1.10.6-4.el7.x86_64                                                                                                                  4/4 +
  
-Installed: +  * **trusted** - un réseau fiable. Dans ce cas tous les ports sont autorisés, 
-  lightdm.x86_64 0:1.10.6-4.el7                                                                                                                                         +  * **work**, **home**, **internal** - un réseau partiellement fiableDans ce cas quelques ports sont autorisés, 
 +  * **dmz**, **public**, **external** - un réseau non fiableDans ce cas peu de ports sont autorisés, 
 +  * **block**, **drop** tout est interdit. La zone drop n'envoie pas de messages d'erreurs.
  
-Dependency Installed: +<WRAP center round important 50%> 
-  lightdm-gobject.x86_64 0:1.10.6-4.el7                   lightdm-gtk.x86_64 0:1.8.5-19.el7                   lightdm-gtk-common.noarch 0:1.8.5-19.el7                  +**Important** Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone. 
 +</WRAP>
  
-Complete! +Le service firewalld doit toujours être lancé :
-</code> +
- +
-Le fichier de configuration de LightDM est **/etc/lightdm/lightdm.conf** :+
  
 <code> <code>
-[root@centos7 ~]# cat /etc/lightdm/lightdm.conf +[root@centos7 ~]# systemctl status firewalld.service 
-+firewalld.service firewalld dynamic firewall daemon 
-# General configuration +   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled) 
-+   Active: active (running) since Tue 2015-07-07 15:53:56 CEST; day 21h ago 
-# start-default-seat = True to always start one seat if none are defined in the configuration + Main PID: 493 (firewalld) 
-# greeter-user = User to run greeter as +   CGroup: /system.slice/firewalld.service 
-# minimum-display-number = Minimum display number to use for X servers +           └─493 /usr/bin/python -Es /usr/sbin/firewalld --nofork --nopid
-# minimum-vt = First VT to run displays on +
-# lock-memory = True to prevent memory from being paged to disk +
-# user-authority-in-system-dir = True if session authority should be in the system location +
-# guest-account-script = Script to be run to setup guest account +
-# logind-load-seats = True to automatically set up multi-seat configuration from logind +
-# logind-check-graphical = True to on start seats that are marked as graphical by logind +
-# log-directory = Directory to log information to +
-# run-directory = Directory to put running state in +
-# cache-directory = Directory to cache to +
-# sessions-directory = Directory to find sessions +
-# remote-sessions-directory = Directory to find remote sessions +
-# greeters-directory = Directory to find greeters +
-# backup-logs = True to move add a .old suffix to old log files when opening new ones +
-+
-[LightDM] +
-#start-default-seat=true +
-#greeter-user=lightdm +
-#minimum-display-number=0 +
-minimum-vt=+
-#lock-memory=true +
-user-authority-in-system-dir=true +
-#guest-account-script=guest-account +
-#logind-load-seats=false +
-#logind-check-graphical=false +
-#log-directory=/var/log/lightdm +
-#run-directory=/var/run/lightdm +
-#cache-directory=/var/cache/lightdm +
-#sessions-directory=/usr/share/lightdm/sessions:/usr/share/xsessions +
-#remote-sessions-directory=/usr/share/lightdm/remote-sessions +
-#greeters-directory=/usr/share/lightdm/greeters:/usr/share/xgreeters +
-#backup-logs=true+
  
-+Jul 07 15:53:56 centos7.fenestros.loc systemd[1]: Started firewalld dynamic firewall daemon
-# Seat defaults +</code>
-+
-# type = Seat type (xlocal, xremote) +
-# xdg-seat = Seat name to set pam_systemd XDG_SEAT variable and name to pass to X server +
-# pam-service = PAM service to use for login +
-# pam-autologin-service = PAM service to use for autologin +
-# pam-greeter-service = PAM service to use for greeters +
-# xserver-command = X server command to run (can also contain arguments e.gX -special-option) +
-# xmir-command = Xmir server command to run (can also contain arguments e.g. Xmir -special-option) +
-# xserver-layout = Layout to pass to X server +
-# xserver-config = Config file to pass to X server +
-# xserver-allow-tcp = True if TCP/IP connections are allowed to this X server +
-# xserver-share = True if the X server is shared for both greeter and session +
-# xserver-hostname = Hostname of X server (only for type=xremote) +
-# xserver-display-number = Display number of X server (only for type=xremote) +
-# xdmcp-manager = XDMCP manager to connect to (implies xserver-allow-tcp=true) +
-# xdmcp-port = XDMCP UDP/IP port to communicate on +
-# xdmcp-key = Authentication key to use for XDM-AUTHENTICATION-(stored in keys.conf) +
-# unity-compositor-command = Unity compositor command to run (can also contain arguments e.g. unity-system-compositor -special-option) +
-# unity-compositor-timeout = Number of seconds to wait for compositor to start +
-# greeter-session = Session to load for greeter +
-# greeter-hide-users = True to hide the user list +
-# greeter-allow-guest = True if the greeter should show a guest login option +
-# greeter-show-manual-login = True if the greeter should offer a manual login option +
-# greeter-show-remote-login = True if the greeter should offer a remote login option +
-# user-session = Session to load for users +
-# allow-user-switching = True if allowed to switch users +
-# allow-guest = True if guest login is allowed +
-# guest-session = Session to load for guests (overrides user-session) +
-# session-wrapper = Wrapper script to run session with +
-# greeter-wrapper = Wrapper script to run greeter with +
-# guest-wrapper = Wrapper script to run guest sessions with +
-# display-setup-script = Script to run when starting a greeter session (runs as root) +
-# display-stopped-script = Script to run after stopping the display server (runs as root) +
-# greeter-setup-script = Script to run when starting a greeter (runs as root) +
-# session-setup-script = Script to run when starting a user session (runs as root) +
-# session-cleanup-script = Script to run when quitting a user session (runs as root) +
-# autologin-guest = True to log in as guest by default +
-# autologin-user = User to log in with by default (overrides autologin-guest) +
-# autologin-user-timeout = Number of seconds to wait before loading default user +
-# autologin-session = Session to load for automatic login (overrides user-session) +
-# autologin-in-background = True if autologin session should not be immediately activated +
-# exit-on-failure = True if the daemon should exit if this seat fails +
-+
-[SeatDefaults] +
-#type=xlocal +
-#xdg-seat=seat0 +
-#pam-service=lightdm +
-#pam-autologin-service=lightdm-autologin +
-#pam-greeter-service=lightdm-greeter +
-xserver-command=X -background none +
-#xmir-command=Xmir +
-#xserver-layout= +
-#xserver-config= +
-#xserver-allow-tcp=false +
-#xserver-share=true +
-#xserver-hostname= +
-#xserver-display-number= +
-#xdmcp-manager= +
-#xdmcp-port=177 +
-#xdmcp-key= +
-#unity-compositor-command=unity-system-compositor +
-#unity-compositor-timeout=60 +
-greeter-session=lightdm-greeter +
-#greeter-hide-users=false +
-#greeter-allow-guest=true +
-#greeter-show-manual-login=false +
-#greeter-show-remote-login=true +
-#user-session=default +
-#allow-user-switching=true +
-#allow-guest=true +
-#guest-session= +
-session-wrapper=/etc/X11/xinit/Xsession +
-#greeter-wrapper= +
-#guest-wrapper= +
-#display-setup-script= +
-#display-stopped-script= +
-#greeter-setup-script= +
-#session-setup-script= +
-#session-cleanup-script= +
-#autologin-guest=false +
-#autologin-user= +
-#autologin-user-timeout=0 +
-#autologin-in-background=false +
-#autologin-session=UNIMPLEMENTED +
-#exit-on-failure=false+
  
-+===La Configuration de Base de firewalld===
-# Seat configuration +
-+
-# Each seat must start with "Seat:"+
-# Uses settings from [SeatDefaults], any of these can be overriden by setting them in this section. +
-+
-#[Seat:0]+
  
-+La configuration par défaut de firewalld se trouve dans **/usr/lib/firewalld** :
-# XDMCP Server configuration +
-+
-# enabled = True if XDMCP connections should be allowed +
-# port = UDP/IP port to listen for connections on +
-# listen-address = Host/address to listen for XDMCP connections (use all addresses if not present) +
-# key = Authentication key to use for XDM-AUTHENTICATION-1 or blank to not use authentication (stored in keys.conf) +
-+
-# The authentication key is a 56 bit DES key specified in hex as 0xnnnnnnnnnnnnnn.  Alternatively +
-# it can be a word and the first 7 characters are used as the key. +
-+
-[XDMCPServer] +
-#enabled=false +
-#port=177 +
-#listen-address= +
-#key=+
  
-# +<code> 
-VNC Server configuration +[root@centos7 ~]ls -l /usr/lib/firewalld/ 
-# +total 12 
-# enabled = True if VNC connections should be allowed +drwxr-x---. 2 root root 4096 Jun  4 09:52 icmptypes 
-# command = Command to run Xvnc server with +drwxr-x---. 2 root root 4096 Jun  4 09:52 services 
-port = TCP/IP port to listen for connections on +drwxr-x---. 2 root root 4096 Jun  4 09:52 zones 
-listen-address = Host/address to listen for VNC connections (use all addresses if not present) +[root@centos7 ~]ls -l /usr/lib/firewalld/zones 
-# width = Width of display to use +total 36 
-# height = Height of display to use +-rw-r-----. 1 root root 299 Mar  6 00:35 block.xml 
-# depth = Color depth of display to use +-rw-r-----. 1 root root 293 Mar  6 00:35 dmz.xml 
-# +-rw-r-----. 1 root root 291 Mar  6 00:35 drop.xml 
-[VNCServer] +-rw-r-----. 1 root root 304 Mar  6 00:35 external.xml 
-#enabled=false +-rw-r-----. 1 root root 400 Mar  6 00:35 home.xml 
-#command=Xvnc +-rw-r-----. 1 root root 415 Mar  6 00:35 internal.xml 
-#port=5900 +-rw-r-----. 1 root root 315 Mar  6 00:35 public.xml 
-#listen-address= +-rw-r-----. 1 root root 162 Mar  6 00:35 trusted.xml 
-#width=1024 +-rw-r-----. 1 root root 342 Mar  6 00:35 work.xml 
-#height=768 +[root@centos7 ~]ls -/usr/lib/firewalld/services 
-#depth=8+total 192 
 +-rw-r-----. 1 root root 412 Mar  6 00:35 amanda-client.xml 
 +-rw-r-----. 1 root root 320 Mar  6 00:35 bacula-client.xml 
 +-rw-r-----. 1 root root 346 Mar  6 00:35 bacula.xml 
 +-rw-r-----. 1 root root 305 Mar  6 00:35 dhcpv6-client.xml 
 +-rw-r-----. 1 root root 234 Mar  6 00:35 dhcpv6.xml 
 +-rw-r-----. 1 root root 227 Mar  6 00:35 dhcp.xml 
 +-rw-r-----. 1 root root 346 Mar  6 00:35 dns.xml 
 +-rw-r-----. 1 root root 374 Mar  6 00:35 ftp.xml 
 +-rw-r-----. 1 root root 476 Mar  6 00:35 high-availability.xml 
 +-rw-r-----. 1 root root 448 Mar  6 00:35 https.xml 
 +-rw-r-----. 1 root root 353 Mar  6 00:35 http.xml 
 +-rw-r-----. 1 root root 372 Mar  6 00:35 imaps.xml 
 +-rw-r-----. 1 root root 454 Mar  6 00:35 ipp-client.xml 
 +-rw-r-----. 1 root root 427 Mar  6 00:35 ipp.xml 
 +-rw-r-----. 1 root root 517 Mar  6 00:35 ipsec.xml 
 +-rw-r-----. 1 root root 233 Mar  6 00:35 kerberos.xml 
 +-rw-r-----. 1 root root 221 Mar  6 00:35 kpasswd.xml 
 +-rw-r-----. 1 root root 232 Mar  6 00:35 ldaps.xml 
 +-rw-r-----. 1 root root 199 Mar  6 00:35 ldap.xml 
 +-rw-r-----. 1 root root 385 Mar  6 00:35 libvirt-tls.xml 
 +-rw-r-----. 1 root root 389 Mar  6 00:35 libvirt.xml 
 +-rw-r-----. 1 root root 424 Mar  6 00:35 mdns.xml 
 +-rw-r-----. 1 root root 211 Mar  6 00:35 mountd.xml 
 +-rw-r-----. 1 root root 190 Mar  6 00:35 ms-wbt.xml 
 +-rw-r-----. 1 root root 171 Mar  6 00:35 mysql.xml 
 +-rw-r-----. 1 root root 324 Mar  6 00:35 nfs.xml 
 +-rw-r-----. 1 root root 389 Mar  6 00:35 ntp.xml 
 +-rw-r-----. 1 root root 335 Mar  6 00:35 openvpn.xml 
 +-rw-r-----. 1 root root 433 Mar  6 00:35 pmcd.xml 
 +-rw-r-----. 1 root root 474 Mar  6 00:35 pmproxy.xml 
 +-rw-r-----. 1 root root 544 Mar  6 00:35 pmwebapis.xml 
 +-rw-r-----. 1 root root 460 Mar  6 00:35 pmwebapi.xml 
 +-rw-r-----. 1 root root 357 Mar  6 00:35 pop3s.xml 
 +-rw-r-----. 1 root root 181 Mar  6 00:35 postgresql.xml 
 +-rw-r-----. 1 root root 261 Mar  6 00:35 proxy-dhcp.xml 
 +-rw-r-----. 1 root root 446 Mar  6 00:35 radius.xml 
 +-rw-r-----. 1 root root 517 Mar  6 00:35 RH-Satellite-6.xml 
 +-rw-r-----. 1 root root 214 Mar  6 00:35 rpc-bind.xml 
 +-rw-r-----. 1 root root 384 Mar  6 00:35 samba-client.xml 
 +-rw-r-----. 1 root root 461 Mar  6 00:35 samba.xml 
 +-rw-r-----. 1 root root 550 Mar  6 00:35 smtp.xml 
 +-rw-r-----. 1 root root 463 Mar  6 00:35 ssh.xml 
 +-rw-r-----. 1 root root 393 Mar  6 00:35 telnet.xml 
 +-rw-r-----. 1 root root 301 Mar  6 00:35 tftp-client.xml 
 +-rw-r-----. 1 root root 437 Mar  6 00:35 tftp.xml 
 +-rw-r-----. 1 root root 211 Mar  6 00:35 transmission-client.xml 
 +-rw-r-----. 1 root root 475 Mar  6 00:35 vnc-server.xml 
 +-rw-r-----. 1 root root 310 Mar  6 00:35 wbem-https.xml 
 +[root@centos7 ~]# ls -l /usr/lib/firewalld/icmptypes/ 
 +total 36 
 +-rw-r-----. 1 root root 222 Mar  6 00:35 destination-unreachable.xml 
 +-rw-r-----. 1 root root 173 Mar  6 00:35 echo-reply.xml 
 +-rw-r-----. 1 root root 210 Mar  6 00:35 echo-request.xml 
 +-rw-r-----. 1 root root 225 Mar  6 00:35 parameter-problem.xml 
 +-rw-r-----. 1 root root 185 Mar  6 00:35 redirect.xml 
 +-rw-r-----. 1 root root 227 Mar  6 00:35 router-advertisement.xml 
 +-rw-r-----. 1 root root 223 Mar  6 00:35 router-solicitation.xml 
 +-rw-r-----. 1 root root 248 Mar  6 00:35 source-quench.xml 
 +-rw-r-----. 1 root root 253 Mar  6 00:35 time-exceeded.xml
 </code> </code>
  
-La configuration de l'écran d'accueil GTK de LightDM se trouve dans le fichier **/etc/lightdm/lightdm-gtk-greeter.conf** :+Ces fichiers sont au format **xml**, par exemple :
  
 <code> <code>
-[root@centos7 ~]# cat /etc/lightdm/lightdm-gtk-greeter.conf +[root@centos7 ~]# cat /usr/lib/firewalld/zones/home.xml  
-+<?xml version="1.0" encoding="utf-8"?> 
-# background Background file to use, either an image path or a color (e.g. #772953) +<zone> 
-# theme-name GTK+ theme to use +  <short>Home</short> 
-# icon-theme-name = Icon theme to use +  <description>For use in home areasYou mostly trust the other computers on networks to not harm your computerOnly selected incoming connections are accepted.</description> 
-# font-name = Font to use +  <service name="ssh"/> 
-# xft-antialias = Whether to antialias Xft fonts (true or false) +  <service name="ipp-client"/> 
-# xft-dpi = Resolution for Xft in dots per inch (e.g. 96) +  <service name="mdns"/> 
-# xft-hintstyle = What degree of hinting to use (none, slight, medium, or hintfull) +  <service name="samba-client"/> 
-# xft-rgba = Type of subpixel antialiasing (none, rgb, bgr, vrgb or vbgr) +  <service name="dhcpv6-client"/> 
-# show-indicators = semi-colon ";" separated list of allowed indicator modulesBuilt-in indicators include "~a11y", "~language", "~session", "~power"Unity indicators can be represented by short name (e.g. "sound", "power"), service file name, or absolute path +</zone>
-# show-clock (true or false) +
-# clock-format strftime-format string, e.g. %H:%M +
-# keyboard = command to launch on-screen keyboard +
-# position = main window position: x y +
-# default-user-image = Image used as default user icon, path or #icon-name +
-# screensaver-timeout = Timeout (in seconds) until the screen blanks when the greeter is called as lockscreen +
-#  +
-[greeter] +
-background=/usr/share/backgrounds/day.jpg +
-#theme-name= +
-#icon-theme-name= +
-#font-name= +
-#xft-antialias= +
-#xft-dpi= +
-#xft-hintstyle= +
-#xft-rgba= +
-#show-indicators= +
-#show-clock= +
-#clock-format= +
-#keyboard= +
-#position= +
-#screensaver-timeout=+
 </code> </code>
  
-=====X.orgX11===== +La configuration de firewalld ainsi que les définitions et règles personnalisées se trouvent dans **/etc/firewalld** :
- +
-====Présentation==== +
- +
-L'exécutable X.orgX11 se trouve dans **/usr/bin** :+
  
 <code> <code>
-[root@centos7 ~]# whereis Xorg +[root@centos7 ~]# ls -l /etc/firewalld/ 
-Xorg: /usr/bin/Xorg /usr/share/man/man1/Xorg.1.gz+total 8 
 +-rw-r-----. 1 root root 1026 Mar  6 00:35 firewalld.conf 
 +drwxr-x---. 2 root root    6 Mar  6 00:35 icmptypes 
 +-rw-r-----. 1 root root  271 Mar  6 00:35 lockdown-whitelist.xml 
 +drwxr-x---. 2 root root    6 Mar  6 00:35 services 
 +drwxr-x---. 2 root root   23 Mar  6 00:35 zones 
 +[root@centos7 ~]# ls -l /etc/firewalld/zones/ 
 +total 4 
 +-rw-r--r--. 1 root root 315 Mar  8 14:05 public.xml 
 +[root@centos7 ~]# ls -l /etc/firewalld/services/ 
 +total 0 
 +[root@centos7 ~]# ls -l /etc/firewalld/icmptypes/ 
 +total 0
 </code> </code>
  
-Les modules de **X.orgX11** sont installés par défaut dans **/usr/lib/xorg/** ou dans **/usr/lib64/xorg/** :+Le fichier de configuration de firewalld est **/etc/firewalld/firewalld.conf** :
  
 <code> <code>
-[root@centos7 ~]# ls -lR /usr/lib64/xorg +[root@centos7 ~]# cat /etc/firewalld/firewalld.conf  
-/usr/lib64/xorg: +# firewalld config file
-total 36 +
-drwxr-xr-x5 root root  4096 Jun  4 10:00 modules +
--rw-r--r--. 1 root root 31246 Apr 10  2015 protocol.txt+
  
-/usr/lib64/xorg/modules: +# default zone 
-total 776 +# The default zone used if an empty zone string is used
-drwxr-xr-x2 root root   4096 Jun  4 15:33 drivers +# Defaultpublic 
-drwxr-xr-x. 2 root root     22 Jun  4 10:00 extensions +DefaultZone=public
-drwxr-xr-x. 2 root root    106 Jun  4 10:02 input +
--rwxr-xr-x. 1 root root  99568 Apr 10  2015 libexa.so +
--rwxr-xr-x. 1 root root  20016 Apr 10  2015 libfbdevhw.so +
--rwxr-xr-x. 1 root root 153528 Apr 10  2015 libfb.so +
--rwxr-xr-x. 1 root root  19952 Mar  6  2015 libglamoregl.so +
--rwxr-xr-x. 1 root root 150992 Apr 10  2015 libint10.so +
--rwxr-xr-x. 1 root root  36552 Apr 10  2015 libshadowfb.so +
--rwxr-xr-x. 1 root root  36248 Apr 10  2015 libshadow.so +
--rwxr-xr-x. 1 root root  28232 Apr 10  2015 libvbe.so +
--rwxr-xr-x. 1 root root  33576 Apr 10  2015 libvgahw.so +
--rwxr-xr-x. 1 root root 198568 Apr 10  2015 libwfb.so+
  
-/usr/lib64/xorg/modules/drivers: +# Minimal mark 
-total 2616 +# Marks up to this minimum are free for use for example in the direct  
--rwxr-xr-x1 root root   11296 Mar  6  2015 ati_drv.so +# interfaceIf more free marks are needed, increase the minimum 
--rwxr-xr-x. 1 root root   20408 Jun  9  2014 dummy_drv.so +# Default100 
--rwxr-xr-x. 1 root root   24648 Jun 10  2014 fbdev_drv.so +MinimalMark=100
--rwxr-xr-x. 1 root root 1501152 Mar  6  2015 intel_drv.so +
--rwxr-xr-x. 1 root root   50472 Jun  9  2014 modesetting_drv.so +
--rwxr-xr-x. 1 root root  211080 Jun 10  2014 nouveau_drv.so +
--rwxr-xr-x. 1 root root  181560 Mar 11  2015 qxl_drv.so +
--rwxr-xr-x. 1 root root  438848 Mar  6  2015 radeon_drv.so +
--rwxr-xr-x. 1 root root   24216 Jun  9  2014 v4l_drv.so +
-lrwxrwxrwx. 1 root root      50 Jun  4 15:33 vboxvideo_drv.so -> /usr/lib64/VBoxGuestAdditions/vboxvideo_drv_115.so +
--rwxr-xr-x. 1 root root   28936 Jun 10  2014 vesa_drv.so +
--rwxr-xr-x. 1 root root  162008 Mar  6  2015 vmware_drv.so+
  
-/usr/lib64/xorg/modules/extensions: +# Clean up on exit 
-total 296 +# If set to no or false the firewall configuration will not get cleaned up 
--rwxr-xr-x. 1 root root 302520 Apr 10  2015 libglx.so+# on exit or stop of firewalld 
 +# Default: yes 
 +CleanupOnExit=yes
  
-/usr/lib64/xorg/modules/input: +# Lockdown 
-total 276 +# If set to enabled, firewall changes with the D-Bus interface will be limited 
--rwxr-xr-x. 1 root root  58776 Jun 10  2014 evdev_drv.so +# to applications that are listed in the lockdown whitelist
--rwxr-xr-x1 root root  70464 Mar  6  2015 synaptics_drv.so +# The lockdown whitelist file is lockdown-whitelist.xml 
--rwxr-xr-x1 root root  20144 Jun 10  2014 vmmouse_drv.so +# Default: no 
--rwxr-xr-x. 1 root root  11440 Jun 10  2014 void_drv.so +Lockdown=no
--rwxr-xr-x. 1 root root 113864 Jun 10  2014 wacom_drv.so +
-</code>+
  
-Sous RHEL/CentOS 7 les paquets X.orgX11 installés peuvent être trouvés en utilisant la commande suivante :+# IPv6_rpfilter 
 +# Performs a reverse path filter test on a packet for IPv6If a reply to the 
 +# packet would be sent via the same interface that the packet arrived on, the  
 +# packet will match and be accepted, otherwise dropped. 
 +# The rp_filter for IPv4 is controlled using sysctl. 
 +# Defaultyes 
 +IPv6_rpfilter=yes
  
-<code> 
-[root@centos7 ~]# rpm -qa | grep xorg 
-xorg-x11-drv-intel-2.99.916-5.el7.x86_64 
-xorg-x11-fonts-Type1-7.5-9.el7.noarch 
-abrt-addon-xorg-2.1.11-19.el7.centos.0.3.x86_64 
-xorg-x11-utils-7.5-13.1.el7.x86_64 
-xorg-x11-drv-void-1.4.0-23.el7.x86_64 
-xorg-x11-drv-dummy-0.3.6-15.el7.x86_64 
-xorg-x11-drv-fbdev-0.4.3-15.el7.x86_64 
-xorg-x11-drv-evdev-2.8.2-5.el7.x86_64 
-xorg-x11-glamor-0.6.0-2.20140918git347ef4f.el7.x86_64 
-xorg-x11-drv-qxl-0.1.1-12.el7.x86_64 
-xorg-x11-server-utils-7.7-4.el7.x86_64 
-xorg-x11-drivers-7.7-6.el7.x86_64 
-xorg-x11-drv-modesetting-0.8.0-13.el7.x86_64 
-xorg-x11-xinit-1.3.2-14.el7.x86_64 
-xorg-x11-drv-ati-7.4.0-1.20140918git56c7fb8.el7.x86_64 
-xorg-x11-xauth-1.0.7-6.1.el7.x86_64 
-xorg-x11-drv-vesa-2.3.2-14.el7.x86_64 
-xorg-x11-font-utils-7.5-18.1.el7.x86_64 
-xorg-x11-server-common-1.15.0-33.el7_1.x86_64 
-xorg-x11-drv-vmware-13.0.2-1.el7.x86_64 
-xorg-x11-drv-vmmouse-13.0.0-10.el7.x86_64 
-xorg-x11-server-Xorg-1.15.0-33.el7_1.x86_64 
-xorg-x11-drv-wacom-0.23.0-6.el7.x86_64 
-xorg-x11-drv-nouveau-1.0.10-5.el7.x86_64 
-xorg-x11-drv-synaptics-1.7.1-13.el7.x86_64 
-xorg-x11-xkb-utils-7.7-9.1.el7.x86_64 
-xorg-x11-drv-v4l-0.2.0-35.el7.x86_64 
 </code> </code>
  
-====Démarrage et Arrêt====+===La Commande firewall-cmd===
  
-Les distributions RHEL ont historiquement utilisés les niveaux d'exécution pour démarrer et arrêter le serveur XLes distributions Debian n'utilisaient pas le système de niveaux d'exécution. Dans ce cas, le serveur X est arrêté avec le script **/etc/init.d/xdm** ( ou kdm ou gdm3 selon le cas ) en passant l'option **stop** et démarrer avec l'option **start**.+firewalld s'appuie sur netfilterPour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall.
  
-====Utilisation==== +<WRAP center round important 50%
- +**Important** - firewall-cmd est le front-end de firewalld en ligne de commandeIl existe aussi la commande **firewall-config** qui lance un outi de configuration graphique.
-Pour interagir avec et contrôler X.orgX11, un utilisateur dispose de plusieurs raccourcis claviers : +
- +
-^ Raccourci  ^ Action ^ +
-| <key>Ctrl</key>-<key>Alt</key>-<key>Retour arrière</key> | La session X est terminée et la boîte de connexion est affichée. | +
-| <key>Ctrl</key>-<key>Alt</key>-<key>Plus</key> | La résolution suivante dans la liste des celles admises est utilisée. | +
-| <key>Ctrl</key>-<key>Alt</key>-<key>Moins</key> | La résolution précédente dans la liste des celles admises est utilisée. | +
- +
-====Configuration==== +
- +
-<WRAP center round important> +
-**Important** : Notez que X.orgX11 s'auto-configure. Il est rarement nécessaire de configurer X.orgX11 manuellement. Par contre il est toujours possible de créer le fichier **/etc/X11/xorg.conf** dans le cas où l'auto-configuration ne donne pas de résultats satisfaisants.+
 </WRAP> </WRAP>
  
-Un fichier de configuration **/etc/X11/xorg.conf** prend la forme suivante :+Pour obtenir la liste de toutes les zones prédéfinies, utilisez la commande suivante :
  
-<file+<code
-Section "Monitor" +[root@centos7 ~]# firewall-cmd --get-zones 
-  Identifier   "Monitor[0]" +block dmz drop external home internal public trusted work 
-  ModelName    "VirtualBox Virtual Output" +</code>
-  VendorName   "Oracle Corporation" +
-EndSection+
  
-Section "Device" +Pour obtenir la liste de toutes les services prédéfinis, utilisez la commande suivante :
-  BoardName    "VirtualBox Graphics" +
-  Driver       "vboxvideo" +
-  Identifier   "Device[0]" +
-  VendorName   "Oracle Corporation" +
-EndSection+
  
-Section "Screen" +<code> 
-  SubSection "Display" +[root@centos7 ~]# firewall-cmd --get-services 
-    Depth      24 +RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https 
-  EndSubSection +</code>
-  Device       "Device[0]" +
-  Identifier   "Screen[0]" +
-  Monitor      "Monitor[0]" +
-EndSection +
-</file>+
  
-Des applications tierces peuvent déposer des fichiers de configuration qui leur sont propres dans le répertoire **/usr/share/X11/xorg.conf.d/** :+Pour obtenir la liste de toutes les types ICMP prédéfinis, utilisez la commande suivante :
  
 <code> <code>
-[root@centos7 ~]# ls -l /usr/share/X11/xorg.conf.d/ +[root@centos7 ~]# firewall-cmd --get-icmptypes 
-total 24 +destination-unreachable echo-reply echo-request parameter-problem redirect router-advertisement router-solicitation source-quench time-exceeded
--rw-r--r--. 1 root root 1099 Apr 10  2015 10-evdev.conf +
--rw-r--r--. 1 root root 1867 Apr 10  2015 10-quirks.conf +
--rw-r--r--. 1 root root 1704 Mar  6  2015 50-synaptics.conf +
--rw-r--r--. 1 root root  115 Jun 10  2014 50-vmmouse.conf +
--rw-r--r--. 1 root root  835 Jun 10  2014 50-wacom.conf +
--rw-r--r--. 1 root root   61 Mar  6  2015 glamor.conf+
 </code> </code>
  
-<WRAP center round important> +Pour obtenir la liste des zones de la configuration courante, utilisez la commande suivante :
-**Important** : Les fichiers dans le répertoire **xorg.conf.d** sont numérotés. L'ordre de prise en compte des fichiers de configuration suit la numérotation. Le fichier xorg.conf lui-même est interprété en **dernier**. +
-</WRAP>+
  
-Les fichiers de configuration contiennent des sections. Chaque section commence par une directive **Section** :+<code> 
 +[root@centos7 ~]# firewall-cmd --get-active-zones 
 +public 
 +  interfacesenp0s3 
 +</code>
  
-<file> +Pour obtenir la liste des zones de la configuration courante pour une interface spécifique, utilisez la commande suivante :
-Section "Nom" +
-... +
-</file>+
  
-et se termine par une directive **EndSection** :+<code> 
 +[root@centos7 ~]# firewall-cmd --get-zone-of-interface=enp0s3 
 +public 
 +</code>
  
-<file> +Pour obtenir la liste des services autorisés pour la zone public, utilisez la commande suivante :
-... +
-EndSection +
-</file>+
  
-Dans chaque section se trouvent des lignes comprennant une **Option** suivi d'une ou de plusieurs **Valeurs** :+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=public --list-services 
 +dhcpv6-client ssh 
 +</code>
  
-<file> +Pour obtenir toute la configuration pour la zone public, utilisez la commande suivante :
-  Identifier   "Monitor[0]" +
-</file>+
  
-<WRAP center round important+<code
-**A faire** Notez que la valeur est entourée de ". +[root@centos7 ~]# firewall-cmd --zone=public --list-all 
-</WRAP>+public (default, active) 
 +  interfaces: enp0s3 
 +  sources:  
 +  services: dhcpv6-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +
  
-Certaines options sont des booléenes. Les valeurs admises sont :+</code>
  
-  * **Vrai** : 1on, true, yes, +Pour obtenir la liste complète de toutes les zones et leurs configurationsutilisez la commande suivante :
-  * **Faux** 0, off, false, no.+
  
-===La Section ServerFlags===+<code> 
 +[root@centos7 ~]# firewall-cmd --list-all-zones 
 +block 
 +  interfaces:  
 +  sources:  
 +  services:  
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +dmz 
 +  interfaces:  
 +  sources:  
 +  services: ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +drop 
 +  interfaces:  
 +  sources:  
 +  services:  
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +external 
 +  interfaces:  
 +  sources:  
 +  services: ssh 
 +  ports:  
 +  masquerade: yes 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +home 
 +  interfaces:  
 +  sources:  
 +  services: dhcpv6-client ipp-client mdns samba-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +internal 
 +  interfaces:  
 +  sources:  
 +  services: dhcpv6-client ipp-client mdns samba-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +public (default, active) 
 +  interfaces: enp0s3 
 +  sources:  
 +  services: dhcpv6-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +trusted 
 +  interfaces:  
 +  sources:  
 +  services:  
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +work 
 +  interfaces:  
 +  sources:  
 +  services: dhcpv6-client ipp-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +</code>
  
-Cette section optionnelle contient des directives globales. Cependant les valeurs attribuées ici peuvent être modifiées par les valeurs des directives dans la section **ServerLayout**. +Pour changer la zone par défaut de public à work, utilisez la commande suivante :
  
-Un exemple de cette section est :+<code> 
 +[root@centos7 ~]# firewall-cmd --set-default-zone=work 
 +success 
 +[root@centos7 ~]# firewall-cmd --get-active-zones 
 +work 
 +  interfacesenp0s3 
 +</code>
  
-<file> +Pour ajouter l'interface ip_fixe à la zone work, utilisez la commande suivante :
-Section "ServerFlags"        +
- Option "DontZap" "true"       +
-EndSection +
-</file>+
  
-Les directives les plus courantes dans cette section sont :+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=work --add-interface=ip_fixe 
 +success 
 +[root@centos7 ~]# firewall-cmd --get-active-zones 
 +work 
 +  interfacesenp0s3 ip_fixe 
 +</code>
  
-^ Directive  ^  Type  ^  Exemple  ^ Description ^ +Pour supprimer l'interface ip_fixe à la zone workutilisez la commande suivante :
-| "DontZap" |  Bouléen  |  True  | Quand la valeur de cette directive est **vrai**, la terminaison de la session X en utilisant les touches <key>Ctrl</key>-<key>Alt</key>-<key>Retour arrière</key> est désactivée. | +
-| "DontZoom" |  Bouléen  |  True  | Quand la valeur de cette directive est **vrai**, il n'est plus possible de modifier la résolution en utilisant les touches <key>Ctrl</key>-<key>Alt</key>-<key>Plus</key> ou <key>Ctrl</key>-<key>Alt</key>-<key>Moins</key>. |+
  
-===La Section ServerLayout===+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=work --remove-interface=ip_fixe 
 +success 
 +[root@centos7 ~]# firewall-cmd --get-active-zones 
 +work 
 +  interfaces: enp0s3 
 +</code>
  
-Cette section regroupe les informations concernant les périphériques en entrée et les périphériques en sortie.+Pour ajouter le service **http** à la zone **work**, utilisez la commande suivante :
  
-Un exemple de cette section est :+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=work --add-service=http 
 +success 
 +[root@centos7 ~]# firewall-cmd --zone=work --list-services 
 +dhcpv6-client http ipp-client ssh 
 +</code>
  
-<file> +Pour supprimer le service **http** de la zone **work**, utilisez la commande suivante :
-Section  "ServerLayout"          +
- Identifier     "Default Layout"          +
- Screen      0  "Screen0" 0 0          +
- InputDevice    "Mouse0" "CorePointer"          +
- InputDevice    "Keyboard0" "CoreKeyboard"  +
-EndSection +
-</file>+
  
-Les directives les plus courantes dans cette section sont :+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=work --remove-service=http 
 +success 
 +[root@centos7 ~]# firewall-cmd --zone=work --list-services 
 +dhcpv6-client ipp-client ssh 
 +</code>
  
-^ Directive  ^ Description ^ Commentaires ^ +Pour ajouter un nouveau bloc ICMP, utilisez la commande suivante :
-| "Identifier" | Définit un nom unique pour cette entrée dans la section. | S/O | +
-| "Screen" | Spécifie l'entrée de la section Screen concernée par l'entrée courante. | Le premier 0 indique le premier moniteur connecté à la carte vidéo. Les deux derniers 0 indique la position du coins supérieur gauche de l'écran en coordonnées XY. Par défaut cette valaur est de 0 0. | +
-| "InputDevice" | Spécifie l'entrée de la section InputDevice concernée par l'entrée courante. | Le terme **Core** indique que c'est le périphérique par défaut. | +
-| "Option" | Une section optionnelle | Toute option définit ici prend précédence sur une option du même nom dans la section ServerFlags. |+
  
-<WRAP center round important+<code
-**Important** : Le fichier de configuration peut contenir deux ou plusieurs sections ServerLayout. Seule la première sera prise en compte. +[root@centos7 ~]# firewall-cmd --zone=work --add-icmp-block=echo-reply 
-</WRAP> +success 
- +[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks 
-===La Section Files=== +echo-reply 
- +</code>
-Cette section regroupe les informations concernant les fichiers de configuration supplémentaires. +
- +
-Un exemple de cette section est : +
- +
-<file> +
-Section "Files"          +
- RgbPath      "/usr/share/X11/rgb.txt"          +
- FontPath     "unix/:7100"  +
-EndSection +
-</file> +
- +
-Les directives les plus courantes dans cette section sont : +
- +
-^ Directive  ^ Description ^ Commentaires ^ +
-| "RgbPath" | Spécifie l'emplacement de la base de données **RGB**. | Sous Redhat/CentOS : **/usr/share/X11/rgb.txt**. | +
-| "FontPath" | Spécifie où doit connecter le serveur pour obtenir des polices pour le serveur de polices **xfs**. | **unix/:7100** par défaut. | +
-| "ModulePath" | Spécifie un répertoire alternatif de modules. | Une directive optionnelle. |+
  
-Voici le fichier **/usr/share/X11/rgb.txt** :+Pour supprimer un bloc ICMP, utilisez la commande suivante :
  
 <code> <code>
-[root@centos7 ~]# more /usr/share/X11/rgb.txt +[root@centos7 ~]# firewall-cmd --zone=work --remove-icmp-block=echo-reply 
-255 250 250 snow +success 
-248 248 255 ghost white +[root@centos7 ~]# firewall-cmd --zone=work --list-icmp-blocks 
-248 248 255 GhostWhite +[root@centos7 ~]# 
-245 245 245 white smoke +
-245 245 245 WhiteSmoke +
-220 220 220 gainsboro +
-255 250 240 floral white +
-255 250 240 FloralWhite +
-253 245 230 old lace +
-253 245 230 OldLace +
-250 240 230 linen +
-250 235 215 antique white +
-250 235 215 AntiqueWhite +
-255 239 213 papaya whip +
-255 239 213 PapayaWhip +
-255 235 205 blanched almond +
-255 235 205 BlanchedAlmond +
-255 228 196 bisque +
-255 218 185 peach puff +
-255 218 185 PeachPuff +
-255 222 173 navajo white +
-255 222 173 NavajoWhite +
-255 228 181 moccasin +
-255 248 220 cornsilk +
-255 255 240 ivory +
-255 250 205 lemon chiffon +
-255 250 205 LemonChiffon +
-255 245 238 seashell +
-240 255 240 honeydew +
---More--(3%)+
 </code> </code>
  
-===La Section Modules=== +Pour ajouter le port 591/tcp à la zone work, utilisez la commande suivante :
- +
-Par défaut le serveur X charge ses modules à partir du répertoire **/usr/lib/xorg/modules/drivers** ou **/usr/lib64/xorg/modules/drivers** :+
  
 <code> <code>
-[root@centos7 ~]# ls /usr/lib64/xorg/modules +[root@centos7 ~]# firewall-cmd --zone=work --add-port=591/tcp 
-drivers     input      libfbdevhw.so  libglamoregl.so  libshadowfb.so  libvbe.so    libwfb.so +success 
-extensions  libexa.so  libfb.so       libint10.so      libshadow.so    libvgahw.so+[root@centos7 ~]# firewall-cmd --zone=work --list-ports 
 +591/tcp
 </code> </code>
 +
 +Pour supprimer le port 591/tcp à la zone work, utilisez la commande suivante :
  
 <code> <code>
-root@debian8:~# ls /usr/lib/xorg/modules +[root@centos7 ~]firewall-cmd --zone=work --remove-port=591/tcp 
-drivers     input      libfbdevhw.so  libglamoregl.so  libshadowfb.so  libvbe.so    libwfb.so +success 
-extensions  libexa.so  libfb.so       libint10.so      libshadow.so    libvgahw.so  multimedia+[root@centos7 ~]# firewall-cmd --zone=work --list-ports 
 +[root@centos7 ~]#
 </code> </code>
  
-<WRAP center round important> +Pour créer un nouveau service, il convient de :
-**Important** : Le chemin par défaut de l'emplacement des modules peut être modifié en utilisant la directive **ModulePath** dans la section **Files**. +
-</WRAP>+
  
-Un exemple de cette section est :+  * copier un fichier existant se trouvant dans le répertoire **/usr/lib/firewalld/services** vers **/etc/firewalld/services**, 
 +  * modifier le fichier, 
 +  * recharger la configuration de firewalld, 
 +  * vérifier que firewalld voit le nouveau service.
  
-<file> +Par exemple :
-Section "Module"  +
- Load  "fbdevhw"  +
-EndSection +
-</file>+
  
-<WRAP center round important+<code
-**Attention** : Dans l'exemple ci-dessus, le module **fbdevhw** sera chargé **à la place des modules par défaut**Pour charger les modules par défaut il faut les spécifier+[root@centos7 ~]# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml 
-</WRAP>+[root@centos7 ~]# 
 +[root@centos7 ~]# cat /etc/firewalld/services/filemaker.xml  
 +<?xml version="1.0" encoding="utf-8"?> 
 +<service> 
 +  <short>FileMakerPro</short> 
 +  <description>fichier de service firewalld pour FileMaker Pro</description> 
 +  <port protocol="tcp" port="591"/> 
 +</service> 
 +[root@centos7 ~]# 
 +[root@centos7 ~]# firewall-cmd --reload 
 +success 
 +[root@centos7 ~]# 
 +[root@centos7 ~]# firewall-cmd --get-services 
 +RH-Satellite-6 amanda-client bacula bacula-client dhcp dhcpv6 dhcpv6-client dns filemaker ftp high-availability http https imaps ipp ipp-client ipsec kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3s postgresql proxy-dhcp radius rpc-bind samba samba-client smtp ssh telnet tftp tftp-client transmission-client vnc-server wbem-https 
 +</code>
  
-===La Section InputDevice===+===La Configuration Avancée de firewalld===
  
-Cette section décrit un périphérique en entrée. Il n'ya normalement qu'une section pour le clavier, les souris étant généralement détectées automatiquementVous pouvez cependant configurer une section **InputDevice** pour une souris en ecrasant la configuration par défaut.+La configuration de base de firewalld ne permet que la configuration des zonesservices, blocs ICMP et les ports non-standardCependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**
  
-Un exemple de cette section est :+Les **Critères** sont :
  
-<file> +  * **source address="<adresse_IP>"** 
-Section "InputDevice+  * **destination address="<adresse_IP>"**, 
-        Identifier  "Keyboard0+  * **rule port port="<numéro_du_port>"**, 
-        Driver      "kbd+  * **service name=<nom_d'un_sevice_prédéfini>**.
-        Option      "XkbModel" "pc105" +
-        Option      "XkbLayout" "us" +
-EndSection +
-</file>+
  
-Les directives les plus courantes dans cette section sont :+Les **Actions** sont :
  
-^ Directive  ^ Description ^ +  * **accept**, 
-| "Identifier" | Spécifie un nom unique pour la section. Cette directive est obligatoire. | +  * **reject**, 
-"Driver" | Spécifie le pilote à charger. | +    * une Action reject peut être associée avec un message d'erreur spécifique par la clause **type="<type_d'erreur>**, 
-| "Option" | Spécifie une option concernant le périphérique|+  * **drop**.
  
-Quand la section décrit une souris, on trouve typiquement les options suivantes :+Saisissez la commande suivante pour ouvrir le port 80 :
  
-^ Option  ^ Description ^ +<code> 
-"Protocol| Spécifie le protocole à utiliser avec une souris, par exemple **IMPS/2**. | +[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80protocol="tcpaccept
-"Device| Spécifie l'emplacement physique du périphérique. | +success 
-| "Emulate3Buttons " | Spécifie si une souris à deux boutons réagit comme une souris à trois boutons en appuyant sur les dexu boutons sumultanément. | +</code>
- +
-===La Section Monitor=== +
- +
-Cette section décrit l'écran. Les écrans actuels sont tous de type **DCC** qui peuvent communiquer au pilote graphique les fréquences et les résolutions supportées. Cependant avec des anciens moniteurs, il est nécessaire d'éditer cette section manuellement.+
  
-<WRAP center round important> +<WRAP center round important 50%
-**Attention** : Il est important de se munir avec la documentation du moniteur afin de connaître **la taille de l'affichage en millimètres, les fréquences horizontales, les fréquences verticales ainsi que les résolutions supportées**. Une mauvaise configuration, notamment des fréquences, peut endomager un moniteur dès que la configuration soit appliquée.+**Important** - Notez que la Rich Rule doit être entourée de caractères **'**. 
 </WRAP> </WRAP>
  
-Un exemple de cette section est :+Saisissez la commande suivante pour visualiser la règle iptables pour IPv4 :
  
-<file+<code
-Section "Monitor"  +[root@centos7 ~]# iptables --n | grep 80 
- Identifier   "Monitor0"  +ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/           tcp dpt:80 ctstate NEW 
- VendorName   "Monitor Vendor"  +</code>
- ModelName    "DDC Probed Monitor ViewSonic G773-2"  +
- DisplaySize  320 240  +
- HorizSync    30.0 - 70.0   +
- VertRefresh  50.0 - 180.0  +
-EndSection +
-</file>+
  
-Les directives les plus courantes dans cette section sont :+Saisissez la commande suivante pour visualiser la règle iptables pour IPv6 :
  
-^ Directive  ^ Description ^ +<code> 
-"Identifier" | Spécifie un nom unique pour la section. Cette directive est obligatoire. | +[root@centos7 ~]# ip6tables -L -n grep 80 
-| "VendorName" | Spécifie le nom du fabricant. | +ACCEPT     udp      ::/0                 fe80::/64            udp dpt:546 ctstate NEW 
-| "ModelName" | Spécifie le modèle du moniteur. | +ACCEPT     tcp      ::/0                 ::/                tcp dpt:80 ctstate NEW 
-| "DisplaySize" | Spécifie la taille de l'écran du moniteur en mm. | +</code>
-| "HorizSync" | Spécifie la fréquence horizontale en kHz. | +
-| "VertRefresh" | Spécifie la fréquence verticale en kHz. | +
-| "Modeline" | Spécifie les modes vidéo et les fréquences horizontales et verticales necessaire pour les obtenir. | +
-| "Option" | Spécifie une option. Voir le manuel de Xorg.conf |+
  
 +<WRAP center round important 50%>
 +**Important** - Notez que la Rich Rule a créé deux règles, une pour IPv4 et une deuxième pour IPv6. Une règle peut être créée pour IPv4 seul en incluant le Critère **family=ipv4**. De la même façon, une règle peut être créée pour IPv6 seul en incluant le Critère **family=ipv6**.
 +</WRAP>
  
-===La Section Device===+Cette nouvelle règle est écrite en mémoire mais non pas sur disque. Pour l'écrire sur disque dans le fichier zone se trouvant dans **/etc/firewalld**, il faut ajouter l'option **--permanent** :
  
-Cette section décrit une carte vidéoIl y a une section Device pour chaque carte vidéo présente dans la machine.+<code> 
 +[root@centos7 ~]# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent 
 +success 
 +[root@centos7 ~]# 
 +[root@centos7 ~]# cat /etc/firewalld/zones/work.xml  
 +<?xml version="1.0" encoding="utf-8"?> 
 +<zone> 
 +  <short>Work</short> 
 +  <description>For use in work areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description> 
 +  <service name="ipp-client"/> 
 +  <service name="dhcpv6-client"/> 
 +  <service name="ssh"/> 
 +  <rule> 
 +    <port protocol="tcp" port="80"/> 
 +    <accept/> 
 +  </rule> 
 +</zone> 
 +</code>
  
-Un exemple de cette section est :+<WRAP center round important 50%> 
 +**Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent. 
 +</WRAP>
  
-<file> +Pour visualiser cette règle dans la configuration de firewalld, il convient de saisir la commande suivante :
-Section "Device"  +
- Identifier  "Videocard0"  +
- Driver      "mga"  +
- VendorName  "Videocard vendor"  +
- BoardName   "Matrox Millennium G200"  +
- VideoRam    8192          +
- Option      "dpms"  +
-EndSection +
-</file>+
  
-Les directives les plus courantes dans cette section sont :+<code> 
 +[root@centos7 ~]# firewall-cmd --list-all-zones 
 +...  
 +work (default, active) 
 +  interfacesenp0s3 
 +  sources:  
 +  services: dhcpv6-client ipp-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 + rule port port="80" protocol="tcp" accept
  
-^ Directive  ^ Description ^ +</code>
-| "Identifier" | Spécifie un nom unique pour la section. Cette directive est obligatoire. | +
-| "Driver" | Spécifie le pilote à utiliser. Les pilotes se trouvent dans le répertoire **/usr/lib/xorg/modules/drivers/**. | +
-| "VendorName" | Spécifie le nom du fabricant. | +
-| "BoardName" | Spécifie le nom de la carte. +
-| "VideoRam" | Spécifie la mémoire vidéo en Ko dans le cas où Xorg ne peut pas la détecter automatiquement. | +
-| "BusID" | Spécifie l'ID du bus auquel est connecté la carte. | +
-| "Screen" | Spécifie un numéro commençant par 0 corréspondant à la sortie vidéo de la carte. Si une carte a plusieurs sorties, une section Device doit être créée pour chaque sortie et ce numéro doit être unique. | +
-| "Option" | Spécifie une option. L'option "dpms" est souvent présente et active l'économie d'énergie au niveau du moniteur. |+
  
-===La Section Screen===+Notez que la Rich Rule est créée dans la Zone par Défaut. Il est possible de créer une Rich Rule dans une autre zone en utilisant l'option **--zone=<zone>** de la commande firewall-cmd :
  
-Cette section associe une carte vidéo décrite par une section **Device** avec un moniteur décrit par une section **Monitor** :+<code> 
 +[root@centos7 ~]# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept' 
 +success 
 +[root@centos7 ~]# firewall-cmd --list-all-zones 
 +... 
 +public 
 +  interfaces 
 +  sources:  
 +  services: dhcpv6-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 + rule port port="80" protocol="tcp" accept 
 +trusted 
 +  interfaces:  
 +  sources:  
 +  services:  
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 +  
 +work (default, active) 
 +  interfaces: enp0s3 
 +  sources:  
 +  services: dhcpv6-client ipp-client ssh 
 +  ports:  
 +  masquerade: no 
 +  forward-ports:  
 +  icmp-blocks:  
 +  rich rules:  
 + rule port port="80" protocol="tcp" accept 
 +</code>
  
-Un exemple de cette section est : 
  
-<file> +Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** :
-Section "Screen"  +
- Identifier "Screen0"  +
- Device     "Videocard0"  +
- Monitor    "Monitor0"  +
- DefaultDepth     16  +
-SubSection "Display"  +
- Depth     24  +
- Modes    "1280x1024" "1280x960" "1152x864" "1024x768" "800x600" "640x480"  +
-EndSubSection  +
-SubSection "Display"  +
- Depth     16  +
- Modes    "1152x864" "1024x768" "800x600" "640x480"  +
-EndSubSection  +
-EndSection +
-</file> +
- +
-Les directives les plus courantes dans cette section sont : +
- +
-^ Directive  ^ Description ^ +
-| "Identifier" | Spécifie un nom unique pour la section. Cette directive est obligatoire. | +
-| "Device" | Spécifie la section Device concernée. Cette directive est obligatoire. | +
-| "Monitor" | Spécifie la section Monitor concernée. | +
-| "DefautDepth" | Spécifie la profondeur de couleurs par défaut. +
-| "Display" | Spécifie les résolutions permises pour le DefaultDepth | +
-| "Option" | Spécifie une option. | +
- +
-====La Commande xwininfo==== +
- +
-La commande xwininfo permet d'obtenir de l'information concernant une fenêtre graphique. Dans la pratique il convient de saisir la commande puis de cliquer sur une fenêtre. Le résultat obtenu est similaire à celui-ci :+
  
 <code> <code>
-[root@centos7 ~]# xwininfo+[root@centos7 ~]# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept' 
 +success 
 +</code>
  
-xwininfo: Please select the window about which you +===Le mode Panic de firewalld===
-          would like information by clicking the +
-          mouse in that window.+
  
-xwininfo: Window id: 0x2800025 "xwindow (~/Desktop) - gedit" +Le mode Panic de firewalld permet de bloquer tout le trafic avec une seule commande. Pour connaître l'état du mode Panic, utilisez la commande suivante :
- +
-  Absolute upper-left X:  0 +
-  Absolute upper-left Y:  60 +
-  Relative upper-left X:  0 +
-  Relative upper-left Y:  32 +
-  Width: 1366 +
-  Height: 574 +
-  Depth: 24 +
-  Visual: 0x21 +
-  Visual Class: TrueColor +
-  Border width: 0 +
-  Class: InputOutput +
-  Colormap: 0x20 (installed) +
-  Bit Gravity State: NorthWestGravity +
-  Window Gravity State: NorthWestGravity +
-  Backing Store State: NotUseful +
-  Save Under State: no +
-  Map State: IsViewable +
-  Override Redirect State: no +
-  Corners:  +0+60  -0+60  -0-33  +0-33 +
-  -geometry 1366x574+0+28 +
-</code> +
- +
-Les options de la commande xwininfo sont :+
  
 <code> <code>
-[root@centos7 ~]# xwininfo --help +[root@centos7 ~]# firewall-cmd --query-panic 
-usage:  xwininfo [-options ...] +no
- +
-where options include: +
-    -help                print this message +
-    -display host:dpy    X server to contact +
-    -root                use the root window +
-    -id windowid         use the window with the specified id +
-    -name windowname     use the window with the specified name +
-    -int                 print window id in decimal +
-    -children            print parent and child identifiers +
-    -tree                print children identifiers recursively +
-    -stats               print window geometry [DEFAULT] +
-    -bits                print window pixel information +
-    -events              print events selected for on window +
-    -size                print size hints +
-    -wm                  print window manager hints +
-    -shape               print shape extents +
-    -frame               don't ignore window manager frames +
-    -english             print sizes in english units +
-    -metric              print sizes in metric units +
-    -all                 -tree, -stats, -bits, -events, -wm, -size, -shape+
 </code> </code>
  
-====La Commande xdpyinfo==== +Pour activer le mode Panic, il convient de saisir la commande suivante :
- +
-Xdpyinfo est un utilitaire utilisé pour afficher des informations concernant le serveur X :+
  
 <code> <code>
-[root@centos7 ~]# xdpyinfo +[root@centos7 ~]# firewall-cmd --panic-on 
-name of display:    :0 +success 
-version number:    11.0 +[root@centos7 ~]# firewall-cmd --query-panic 
-vendor string:    The X.Org Foundation +yes
-vendor release number:    11500000 +
-X.Org version: 1.15.0 +
-maximum request size:  16777212 bytes +
-motion buffer size:  256 +
-bitmap unit, bit order, padding:    32, LSBFirst, 32 +
-image byte order:    LSBFirst +
-number of supported pixmap formats:    7 +
-supported pixmap formats: +
-    depth 1, bits_per_pixel 1, scanline_pad 32 +
-    depth 4, bits_per_pixel 8, scanline_pad 32 +
-    depth 8, bits_per_pixel 8, scanline_pad 32 +
-    depth 15, bits_per_pixel 16, scanline_pad 32 +
-    depth 16, bits_per_pixel 16, scanline_pad 32 +
-    depth 24, bits_per_pixel 32, scanline_pad 32 +
-    depth 32, bits_per_pixel 32, scanline_pad 32 +
-keycode range:    minimum 8, maximum 255 +
-focus:  window 0x2a00007, revert to Parent +
-number of extensions:    27 +
-    BIG-REQUESTS +
-    Composite +
-    DAMAGE +
-    DOUBLE-BUFFER +
-    DPMS +
-    DRI2 +
-    GLX +
-    Generic Event Extension +
-    MIT-SCREEN-SAVER +
-    MIT-SHM +
-    Present +
-    RANDR +
-    RECORD +
-    RENDER +
-    SGI-GLX +
-    SHAPE +
-    SYNC +
-    X-Resource +
-    XC-MISC +
-    XFIXES +
-    XFree86-DGA +
-    XFree86-VidModeExtension +
-    XINERAMA +
-    XInputExtension +
-    XKEYBOARD +
-    XTEST +
-    XVideo +
-default screen number:    0 +
-number of screens:    1 +
- +
-screen #0: +
-  dimensions:    1366x667 pixels (361x176 millimeters) +
-  resolution:    96x96 dots per inch +
-  depths (7):    24, 1, 4, 8, 15, 16, 32 +
-  root window id:    0x170 +
-  depth of root window:    24 planes +
-  number of colormaps:    minimum 1, maximum 1 +
-  default colormap:    0x20 +
-  default number of colormap cells:    256 +
-  preallocated pixels:    black 0, white 16777215 +
-  options:    backing-store WHEN MAPPED, save-unders NO +
-  largest cursor:    64x64 +
-  current input event mask:    0xda0003 +
-    KeyPressMask             KeyReleaseMask           StructureNotifyMask       +
-    SubstructureNotifyMask   SubstructureRedirectMask PropertyChangeMask        +
-    ColormapChangeMask        +
-  number of visuals:    120 +
-  default visual id:  0x21 +
-  visual: +
-    visual id:    0x21 +
-    class:    TrueColor +
-    depth:    24 planes +
-    available colormap entries:    256 per subfield +
-    red, green, blue masks:    0xff0000, 0xff00, 0xff +
-    significant bits in color specification:    8 bits +
-  visual: +
-    visual id:    0xf9 +
-    class:    TrueColor +
-    depth:    24 planes +
-    available colormap entries:    256 per subfield +
-    red, green, blue masks:    0xff0000, 0xff00, 0xff +
-    significant bits in color specification:    8 bits +
-...+
 </code> </code>
  
-Les options de la commande xwininfo sont :+Pour désactiver le mode Panic, il convient de saisir la commande suivante :
  
 <code> <code>
-[root@centos7 ~]# xdpyinfo --help +[root@centos7 ~]# firewall-cmd --panic-off 
-usage:  xdpyinfo [options] +success 
--display displayname server to query +[root@centos7 ~]# firewall-cmd --query-panic 
--version print program version and exit +no
--queryExtensions print info returned by XQueryExtension +
--ext all print detailed info for all supported extensions +
--ext extension-name print detailed info for extension-name if one of: +
-     MIT-SHM XKEYBOARD Multi-Buffering SHAPE SYNC XFree86-DGA  +
-     XFree86-VidModeExtension XFree86-Misc XTEST DOUBLE-BUFFER RECORD  +
-     XInputExtension RENDER XINERAMA DMX +
 </code> </code>
  
-=====L'Accès Universel=====+-----
  
-L'Accès Universel ou //Accessibility// en anglais fait référence aux outils divers et variés permettant aux personnes qui présentent des handicaps à utiliser l'ordinateur. +Copyright © 2023 Hugh Norris.
- +
-====Le Clavier et la Souris==== +
- +
-Historiquement, le logiciel graphique **AccessX** existait pour régler les paramètres du clavier. Ce logiciel a maintenant été largement remplacé par les panneaux de configuration des distributions. Parmi les paramètres reglables on trouve : +
- +
-^ Paramètre ^ Description ^ +
-| Sticky Keys | Permet de maintenir les touches <key>Ctrl</key>, <key>Alt</key> et <key>Shift</key> enfoncées après avoir été relachées jusqu'à l'enfoncement d'une deuxième touche | +
-| Mouse Keys | Permet d'émuler une souris avec le pavé directionnel | +
-| Bounce Keys | Permet de réduire l'effet causé quand un utilisateur appuie accidentellement plusieurs fois de suite sur la même touche | +
-| Slow Keys | Necéssite qu'une touche soit enfoncée pour une durée plus longue avant que le système réagisse | +
- +
-====Claviers Visuels==== +
- +
-Un clavier visuel ou //Onscreen Keyboard// est un clavier qui est afficher à l'écran. Les touches sont activées en utilisant la souris. +
- +
-Un exemple connu du clavier visuel est **[[http://library.gnome.org/users/gnomeaccessguide/stable/gok.html|GOK]]** (//Gnome On-Screen Keyboard//). +
- +
-====L'Ecran==== +
- +
-En ce qui concerne la visibilité de l'écran, plusieurs caractéristiques sont importants dont la luminosité, le contraste, la taille de la police ainsi que le choix de la police. +
- +
-Il existe aussi des loupes telles **Kmag**. +
- +
-====Autres Technologies==== +
- +
-Il existe aussi des logiciels de synthèse vocal tels **[[http://live.gnome.org/Orca|Orca]]** et **[[http://emacspeak.sourceforge.net|Emacspeak]]** ainsi que des moniteurs Braille qui utilisent **[[http://www.mielke.cc/brltty/|BRLTTY]]**. +
- +
------ +
-<html> +
-<div align="center"> +
-Copyright © 2020 Hugh Norris. +
-</html>+

Piste : VIC602 - Installation de Machines Virtuelles KVM RH12413 - Network Management SO215 - Gestion des Serveurs de Base LCF400 - Présentation de la Formation LCF204 - Gestion des Disques, des Systèmes de Fichiers et du Swap SO206 - Gestion de la Journalisation VIC604 - Gestion des VMs et KVM RH12409 - Archiving and Compression VIC603 - Gestion des Clones, des Snapshots et des Sauvegardes sous KVM DOE601 - Virtualisation by Isolation

Menu