Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » Debian » 11 » LDF400 - Administration de la Sécurité » LDF402 - Netfilter et Firewalld

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Prochaine révision		Révision précédente
elearning:workbooks:debian:11:sec:l102 [2025/11/24 11:07] – créée adminelearning:workbooks:debian:11:sec:l102 [2025/11/27 11:19] (Version actuelle) admin
Ligne 16: Ligne 16:
       * SYN Flooding       * SYN Flooding
       * Flood       * Flood
-    * Le Contre-Mesure +    * La Contre-Mesure 
-      * Le Pare-feu Netfilter/iptables +      * LAB #1 - La Configuration de firewalld
-      * LAB #1 - La Configuration de Netfilter par firewalld+
         * 1.1 - La Configuration de Base de firewalld         * 1.1 - La Configuration de Base de firewalld
         * 1.2 - La Commande firewall-cmd         * 1.2 - La Commande firewall-cmd
Ligne 44: Ligne 43:
   * La machine de diffusion envoie ce même ping à un grand nombre de clients en spécifiant l'origine de la requête,   * La machine de diffusion envoie ce même ping à un grand nombre de clients en spécifiant l'origine de la requête,
   * L'attaquant reprend son adresse IP d'origine,   * L'attaquant reprend son adresse IP d'origine,
-  * Tous les clients renvoie une réponse au ping //en même temps// à la cible.+  * Tous les clients renvoient une réponse au ping //en même temps// à la cible.
  
 ====SYN Flooding==== ====SYN Flooding====
  
-Le **SYN Flooding**, aussi appelé un //SYN-ACK Attack//, consiste à envoyer vers une cible de multiples paquets **SYN** très rapidement. La cible répond à chaque paquet reçu avec un paquet **ACK** et attend une réponse **ACK** de l'attaquant. A ce stade pour chaque ACK renvoyé par la cible, une connexion dite //semi-ouverte// existe entre les deux machines. La cible doit réserver une petite partie de sa mémoire pour chaque connexion semi-ouverte jusqu'au //time-out// de la dite semi-connexion. Si l'attaquant envoie très rapidement des paquets SYN, le système de time-out n'a pas la possibilité d'expirer les semi-connexions précédentes. Dans ce cas la mémoire de la cible se remplit et on obtient un //buffer overflow//.+Le **SYN Flooding**, aussi appelé un //SYN-ACK Attack//, consiste à envoyer vers une cible de multiples paquets **SYN** très rapidement. La cible répond à chaque paquet reçu avec un paquet **ACK** et attend une réponse **ACK** de l'attaquant. A ce stade pour chaque ACK renvoyé par la cible, une connexion dite //semi-ouverte// existe entre les deux machines. La cible doit réserver une petite partie de sa mémoire pour chaque connexion semi-ouverte jusqu'au //time-out// de ladite semi-connexion. Si l'attaquant envoie très rapidement des paquets SYN, le système de time-out n'a pas la possibilité d'expirer les semi-connexions précédentes. Dans ce cas la mémoire de la cible se remplit et on obtient un //buffer overflow//.
  
 ====Flood==== ====Flood====
  
-Le **Flood** consiste à envoyer très rapidement des gros paquets **ICMP** vers la cible.+Le **Flood** consiste à envoyer très rapidement de gros paquets **ICMP** vers la cible.
  
-=====Le Contre-Mesure=====+=====La Contre-Mesure=====
  
-Le contre-mesure est principalement l'utilisation d'un pare-feu.+La contre-mesure est principalement l'utilisation d'un pare-feu.
  
-====Le Parefeu Netfilter==== +===LAB #1 - La Configuration de firewalld===
- +
-===Présentation=== +
- +
-**Netfilter** est composé de 5 //hooks// : +
- +
-  * NF_IP_PRE_ROUTING +
-  * NF_IP_LOCAL_IN +
-  * NF_IP_LOCAL_OUT +
-  * NF_IP_FORWARD +
-  * NF_IP_POSTROUTING +
- +
-Ces hooks sont utilisés par deux branches, la première est celle concernée par les paquets qui entrent vers des services locaux : +
- +
-  * NF_IP_PRE_ROUTING > NF_IP_LOCAL_IN > NF_IP_LOCAL_OUT > NF_IP_POSTROUTING +
- +
-tandis que la deuxième concerne les paquets qui traversent la passerelle: +
- +
-  * NF_IP_PRE_ROUTING > NF_IP_FORWARD > NF_IP_POSTROUTING +
- +
-Si IPTABLES a été compilé en tant que module, son utilisation nécessite le chargement de plusieurs modules supplémentaires en fonction de la situation: +
- +
-  * iptable_filter +
-  * iptable_mangle +
-  * iptable_net +
-  * etc +
- +
-Netfilter est organisé en **tables**. La commande **iptables** de netfilter permet d'insérer des **policies** dans les **chaines**: +
- +
-  * La table **FILTER** +
-    * La chaîne INPUT +
-      * Concerne les paquets entrants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne OUTPUT +
-      * Concerne les paquets sortants +
-        * Policies: ACCEPT, DROP, REJECT +
-    * La chaîne FORWARD +
-      * Concerne les paquets traversant le par-feu. +
-        * Policies: ACCEPT, DROP, REJECT +
- +
-Si aucune table n'est précisée, c'est la table FILTER qui s'applique par défaut. +
- +
-  * La table **NAT** +
-    * La chaîne PREROUTING +
-      * Permet de faire la translation d'adresse de destination +
-        * Cibles: SNAT, DNAT, MASQUERADE +
-    * La chaîne POSTROUTING +
-      * Permet de faire la translation d'adresse de la source +
-        * Cibles: SNAT, DNAT, MASQUERADE +
-    * Le cas spécifique OUTPUT +
-      * Permet la modification de la destination des paquets générés localement +
- +
-  * La table **MANGLE** +
-    * Permet le marquage de paquets générés localement (OUTPUT) et entrants (PREROUTING) +
- +
-Les **policies** sont: +
- +
-  * ACCEPT +
-    * Permet d'accepter le paquet concerné +
-  * DROP +
-    * Permet de rejeter le paquet concerné sans générer un message d'erreur +
-  * REJECT +
-    * Permet de rejeter le paquet concerné en générant une message d'erreur +
- +
-Les **cibles** sont: +
- +
-  * SNAT +
-    * Permet de modifier l'adresse source du paquet concerné +
-  * DNAT +
-    * Permet de modifier l'adresse de destination du paquet concerné +
-  * MASQUERADE +
-    * Permet de remplacer l'adresse IP privée de l'expéditeur par un socket public de la passerelle. +
- +
-===LAB #1 - La Configuration de Netfilter par firewalld===+
  
 firewalld est à Netfilter ce que NetworkManager est au réseau. firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces : firewalld est à Netfilter ce que NetworkManager est au réseau. firewalld utilise des **zones** - des jeux de règles pré-définis dans lesquels sont placés les interfaces :
Ligne 140: Ligne 66:
   * **block**, **drop** - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.   * **block**, **drop** - tout est interdit. La zone drop n'envoie pas de messages d'erreurs.
  
-<WRAP center round important>+<WRAP center round important 50%>
 **Important** - Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone. **Important** - Une interface ne peut être que dans une zone à la fois tandis que plusieurs interfaces peuvent être dans la même zone.
 </WRAP> </WRAP>
  
-Sous Debian 11, firewalld n'est pas installé par défaut :+Sous Debian 12, firewalld n'est pas installé par défaut :
  
 <code> <code>
-root@debian11:~# apt-get -y install firewalld+root@debian12:~# apt-get -y install firewalld
 </code> </code>
  
Ligne 153: Ligne 79:
  
 <code> <code>
-root@debian11:~# systemctl status firewalld.service+root@debian12:~# systemctl status firewalld.service
 ● firewalld.service - firewalld - dynamic firewall daemon ● firewalld.service - firewalld - dynamic firewall daemon
-     Loaded: loaded (/lib/systemd/system/firewalld.service; enabled; vendor preset: e> +     Loaded: loaded (/lib/systemd/system/firewalld.service; enabled; preset: enabled) 
-     Active: active (running) since Tue 2022-05-03 15:17:03 CEST11s ago+     Active: active (running) since Wed 2025-11-26 15:37:04 CET22s ago
        Docs: man:firewalld(1)        Docs: man:firewalld(1)
-   Main PID: 5695 (firewalld) +   Main PID: 3136 (firewalld) 
-      Tasks: 2 (limit: 4632+      Tasks: 2 (limit: 19123
-     Memory: 30.2M +     Memory: 29.2M 
-        CPU: 619ms+        CPU: 374ms
      CGroup: /system.slice/firewalld.service      CGroup: /system.slice/firewalld.service
-             └─5695 /usr/bin/python3 /usr/sbin/firewalld --nofork --nopid+             └─3136 /usr/bin/python3 /usr/sbin/firewalld --nofork --nopid
  
-May 03 15:17:02 debian11.ittraining.loc systemd[1]: Starting firewalld - dynamic fire> +Nov 26 15:37:04 debian12 systemd[1]: Starting firewalld.service - firewalld - dynamic firewall daemon... 
-May 03 15:17:03 debian11.ittraining.loc systemd[1]: Started firewalld - dynamic firew> +Nov 26 15:37:04 debian12 systemd[1]: Started firewalld.service firewalld dynamic firewall daemon.
-lines 1-13/13 (END) +
-[q]+
 </code> </code>
  
Ligne 176: Ligne 100:
  
 <code> <code>
-root@debian11:~# ls -lR /usr/lib/firewalld/+root@debian12:~# ls -lR /usr/lib/firewalld/
 /usr/lib/firewalld/: /usr/lib/firewalld/:
 total 32 total 32
-drwxr-xr-x 2 root root  4096 May  3 15:16 helpers +drwxr-xr-x 2 root root  4096 Nov 26 15:36 helpers 
-drwxr-xr-x 2 root root  4096 May  3 15:16 icmptypes +drwxr-xr-x 2 root root  4096 Nov 26 15:36 icmptypes 
-drwxr-xr-x 2 root root  4096 May  3 15:16 ipsets +drwxr-xr-x 2 root root  4096 Nov 26 15:36 ipsets 
-drwxr-xr-x 2 root root  4096 May  3 15:16 policies +drwxr-xr-x 2 root root  4096 Nov 26 15:36 policies 
-drwxr-xr-x 2 root root 12288 May  3 15:16 services +drwxr-xr-x 2 root root 12288 Nov 26 15:36 services 
-drwxr-xr-x 2 root root  4096 May  3 15:16 zones+drwxr-xr-x 2 root root  4096 Nov 26 15:36 zones
  
 /usr/lib/firewalld/helpers: /usr/lib/firewalld/helpers:
 total 52 total 52
--rw-r--r-- 1 root root 125 Feb   2021 amanda.xml +-rw-r--r-- 1 root root 125 Aug   2023 amanda.xml 
--rw-r--r-- 1 root root 119 Feb   2021 ftp.xml +-rw-r--r-- 1 root root 119 Aug   2023 ftp.xml 
--rw-r--r-- 1 root root  85 Feb   2021 h323.xml +-rw-r--r-- 1 root root  85 Aug   2023 h323.xml 
--rw-r--r-- 1 root root 134 Feb   2021 irc.xml +-rw-r--r-- 1 root root 134 Aug   2023 irc.xml 
--rw-r--r-- 1 root root 141 Feb   2021 netbios-ns.xml +-rw-r--r-- 1 root root 141 Aug   2023 netbios-ns.xml 
--rw-r--r-- 1 root root 136 Feb   2021 pptp.xml +-rw-r--r-- 1 root root 136 Aug   2023 pptp.xml 
--rw-r--r-- 1 root root  90 Feb   2021 proto-gre.xml +-rw-r--r-- 1 root root  90 Aug   2023 proto-gre.xml 
--rw-r--r-- 1 root root 122 Feb   2021 Q.931.xml +-rw-r--r-- 1 root root 122 Aug   2023 Q.931.xml 
--rw-r--r-- 1 root root 122 Feb   2021 RAS.xml +-rw-r--r-- 1 root root 122 Aug   2023 RAS.xml 
--rw-r--r-- 1 root root 122 Feb   2021 sane.xml +-rw-r--r-- 1 root root 122 Aug   2023 sane.xml 
--rw-r--r-- 1 root root 158 Feb   2021 sip.xml +-rw-r--r-- 1 root root 158 Aug   2023 sip.xml 
--rw-r--r-- 1 root root 135 Feb   2021 snmp.xml +-rw-r--r-- 1 root root 135 Aug   2023 snmp.xml 
--rw-r--r-- 1 root root 120 Feb   2021 tftp.xml+-rw-r--r-- 1 root root 120 Aug   2023 tftp.xml
  
 /usr/lib/firewalld/icmptypes: /usr/lib/firewalld/icmptypes:
 total 180 total 180
--rw-r--r-- 1 root root 385 Feb   2021 address-unreachable.xml +-rw-r--r-- 1 root root 385 Aug   2023 address-unreachable.xml 
--rw-r--r-- 1 root root 258 Feb   2021 bad-header.xml +-rw-r--r-- 1 root root 258 Aug   2023 bad-header.xml 
--rw-r--r-- 1 root root 294 Feb   2021 beyond-scope.xml +-rw-r--r-- 1 root root 293 Aug   2023 beyond-scope.xml 
--rw-r--r-- 1 root root 279 Feb   2021 communication-prohibited.xml +-rw-r--r-- 1 root root 279 Aug   2023 communication-prohibited.xml 
--rw-r--r-- 1 root root 222 Feb   2021 destination-unreachable.xml +-rw-r--r-- 1 root root 222 Aug   2023 destination-unreachable.xml 
--rw-r--r-- 1 root root 173 Feb   2021 echo-reply.xml +-rw-r--r-- 1 root root 173 Aug   2023 echo-reply.xml 
--rw-r--r-- 1 root root 210 Feb   2021 echo-request.xml +-rw-r--r-- 1 root root 210 Aug   2023 echo-request.xml 
--rw-r--r-- 1 root root 261 Feb   2021 failed-policy.xml +-rw-r--r-- 1 root root 261 Aug   2023 failed-policy.xml 
--rw-r--r-- 1 root root 280 Feb   2021 fragmentation-needed.xml +-rw-r--r-- 1 root root 280 Aug   2023 fragmentation-needed.xml 
--rw-r--r-- 1 root root 266 Feb   2021 host-precedence-violation.xml +-rw-r--r-- 1 root root 266 Aug   2023 host-precedence-violation.xml 
--rw-r--r-- 1 root root 257 Feb   2021 host-prohibited.xml +-rw-r--r-- 1 root root 257 Aug   2023 host-prohibited.xml 
--rw-r--r-- 1 root root 242 Feb   2021 host-redirect.xml +-rw-r--r-- 1 root root 242 Aug   2023 host-redirect.xml 
--rw-r--r-- 1 root root 239 Feb   2021 host-unknown.xml +-rw-r--r-- 1 root root 239 Aug   2023 host-unknown.xml 
--rw-r--r-- 1 root root 247 Feb   2021 host-unreachable.xml +-rw-r--r-- 1 root root 247 Aug   2023 host-unreachable.xml 
--rw-r--r-- 1 root root 229 Feb   2021 ip-header-bad.xml +-rw-r--r-- 1 root root 229 Aug   2023 ip-header-bad.xml 
--rw-r--r-- 1 root root 355 Feb   2021 neighbour-advertisement.xml +-rw-r--r-- 1 root root 355 Aug   2023 neighbour-advertisement.xml 
--rw-r--r-- 1 root root 457 Feb   2021 neighbour-solicitation.xml +-rw-r--r-- 1 root root 457 Aug   2023 neighbour-solicitation.xml 
--rw-r--r-- 1 root root 250 Feb   2021 network-prohibited.xml +-rw-r--r-- 1 root root 250 Aug   2023 network-prohibited.xml 
--rw-r--r-- 1 root root 248 Feb   2021 network-redirect.xml +-rw-r--r-- 1 root root 248 Aug   2023 network-redirect.xml 
--rw-r--r-- 1 root root 239 Feb   2021 network-unknown.xml +-rw-r--r-- 1 root root 239 Aug   2023 network-unknown.xml 
--rw-r--r-- 1 root root 247 Feb   2021 network-unreachable.xml +-rw-r--r-- 1 root root 247 Aug   2023 network-unreachable.xml 
--rw-r--r-- 1 root root 239 Feb   2021 no-route.xml +-rw-r--r-- 1 root root 239 Aug   2023 no-route.xml 
--rw-r--r-- 1 root root 328 Feb   2021 packet-too-big.xml +-rw-r--r-- 1 root root 328 Aug   2023 packet-too-big.xml 
--rw-r--r-- 1 root root 225 Feb   2021 parameter-problem.xml +-rw-r--r-- 1 root root 225 Aug   2023 parameter-problem.xml 
--rw-r--r-- 1 root root 233 Feb   2021 port-unreachable.xml +-rw-r--r-- 1 root root 233 Aug   2023 port-unreachable.xml 
--rw-r--r-- 1 root root 256 Feb   2021 precedence-cutoff.xml +-rw-r--r-- 1 root root 256 Aug   2023 precedence-cutoff.xml 
--rw-r--r-- 1 root root 249 Feb   2021 protocol-unreachable.xml +-rw-r--r-- 1 root root 249 Aug   2023 protocol-unreachable.xml 
--rw-r--r-- 1 root root 185 Feb   2021 redirect.xml +-rw-r--r-- 1 root root 185 Aug   2023 redirect.xml 
--rw-r--r-- 1 root root 244 Feb   2021 reject-route.xml +-rw-r--r-- 1 root root 244 Aug   2023 reject-route.xml 
--rw-r--r-- 1 root root 241 Feb   2021 required-option-missing.xml +-rw-r--r-- 1 root root 241 Aug   2023 required-option-missing.xml 
--rw-r--r-- 1 root root 227 Feb   2021 router-advertisement.xml +-rw-r--r-- 1 root root 227 Aug   2023 router-advertisement.xml 
--rw-r--r-- 1 root root 223 Feb   2021 router-solicitation.xml +-rw-r--r-- 1 root root 223 Aug   2023 router-solicitation.xml 
--rw-r--r-- 1 root root 248 Feb   2021 source-quench.xml +-rw-r--r-- 1 root root 248 Aug   2023 source-quench.xml 
--rw-r--r-- 1 root root 236 Feb   2021 source-route-failed.xml +-rw-r--r-- 1 root root 236 Aug   2023 source-route-failed.xml 
--rw-r--r-- 1 root root 253 Feb   2021 time-exceeded.xml +-rw-r--r-- 1 root root 253 Aug   2023 time-exceeded.xml 
--rw-r--r-- 1 root root 233 Feb   2021 timestamp-reply.xml +-rw-r--r-- 1 root root 233 Aug   2023 timestamp-reply.xml 
--rw-r--r-- 1 root root 228 Feb   2021 timestamp-request.xml +-rw-r--r-- 1 root root 228 Aug   2023 timestamp-request.xml 
--rw-r--r-- 1 root root 258 Feb   2021 tos-host-redirect.xml +-rw-r--r-- 1 root root 258 Aug   2023 tos-host-redirect.xml 
--rw-r--r-- 1 root root 257 Feb   2021 tos-host-unreachable.xml +-rw-r--r-- 1 root root 257 Aug   2023 tos-host-unreachable.xml 
--rw-r--r-- 1 root root 272 Feb   2021 tos-network-redirect.xml +-rw-r--r-- 1 root root 272 Aug   2023 tos-network-redirect.xml 
--rw-r--r-- 1 root root 269 Feb   2021 tos-network-unreachable.xml +-rw-r--r-- 1 root root 269 Aug   2023 tos-network-unreachable.xml 
--rw-r--r-- 1 root root 293 Feb   2021 ttl-zero-during-reassembly.xml +-rw-r--r-- 1 root root 293 Aug   2023 ttl-zero-during-reassembly.xml 
--rw-r--r-- 1 root root 256 Feb   2021 ttl-zero-during-transit.xml +-rw-r--r-- 1 root root 256 Aug   2023 ttl-zero-during-transit.xml 
--rw-r--r-- 1 root root 259 Feb   2021 unknown-header-type.xml +-rw-r--r-- 1 root root 259 Aug   2023 unknown-header-type.xml 
--rw-r--r-- 1 root root 249 Feb   2021 unknown-option.xml+-rw-r--r-- 1 root root 249 Aug   2023 unknown-option.xml
  
 /usr/lib/firewalld/ipsets: /usr/lib/firewalld/ipsets:
 total 4 total 4
--rw-r--r-- 1 root root 29 Feb   2021 README+-rw-r--r-- 1 root root 29 Aug   2023 README.md
  
 /usr/lib/firewalld/policies: /usr/lib/firewalld/policies:
 total 4 total 4
--rw-r--r-- 1 root root 649 Feb   2021 allow-host-ipv6.xml+-rw-r--r-- 1 root root 649 Aug   2023 allow-host-ipv6.xml
  
 /usr/lib/firewalld/services: /usr/lib/firewalld/services:
-total 700 +total 884 
--rw-r--r-- 1 root root  399 Feb  1  2021 amanda-client.xml +-rw-r--r-- 1 root root 352 Aug   2023 afp.xml 
--rw-r--r-- 1 root root  427 Feb   2021 amanda-k5-client.xml +-rw-r--r-- root root 399 Aug  2  2023 amanda-client.xml 
--rw-r--r-- 1 root root  283 Feb   2021 amqps.xml +-rw-r--r-- 1 root root 427 Aug   2023 amanda-k5-client.xml 
--rw-r--r-- 1 root root  273 Feb   2021 amqp.xml +-rw-r--r-- 1 root root 283 Aug   2023 amqps.xml 
--rw-r--r-- 1 root root  285 Feb   2021 apcupsd.xml +-rw-r--r-- 1 root root 273 Aug   2023 amqp.xml 
--rw-r--r-- 1 root root  301 Feb   2021 audit.xml +-rw-r--r-- 1 root root 285 Aug   2023 apcupsd.xml 
--rw-r--r-- 1 root root  320 Feb  1  2021 bacula-client.xml +-rw-r--r-- 1 root root 301 Aug   2023 audit.xml 
--rw-r--r-- 1 root root  346 Feb   2021 bacula.xml +-rw-r--r-- 1 root root 436 Aug   2023 ausweisapp2.xml 
--rw-r--r-- 1 root root  429 Feb  1  2021 bb.xml +-rw-r--r-- root root 320 Aug  2  2023 bacula-client.xml 
--rw-r--r-- 1 root root  339 Feb  1  2021 bgp.xml +-rw-r--r-- 1 root root 346 Aug   2023 bacula.xml 
--rw-r--r-- 1 root root  275 Feb  1  2021 bitcoin-rpc.xml +-rw-r--r-- 1 root root 390 Aug   2023 bareos-director.xml 
--rw-r--r-- 1 root root  307 Feb   2021 bitcoin-testnet-rpc.xml +-rw-r--r-- root root 255 Aug  2  2023 bareos-filedaemon.xml 
--rw-r--r-- 1 root root  281 Feb   2021 bitcoin-testnet.xml +-rw-r--r-- 1 root root 316 Aug   2023 bareos-storage.xml 
--rw-r--r-- 1 root root  244 Feb   2021 bitcoin.xml +-rw-r--r-- root root 429 Aug  2  2023 bb.xml 
--rw-r--r-- 1 root root  410 Feb   2021 bittorrent-lsd.xml +-rw-r--r-- 1 root root 339 Aug   2023 bgp.xml 
--rw-r--r-- 1 root root  294 Feb  1  2021 ceph-mon.xml +-rw-r--r-- root root 275 Aug  2  2023 bitcoin-rpc.xml 
--rw-r--r-- 1 root root  329 Feb   2021 ceph.xml +-rw-r--r-- 1 root root 307 Aug   2023 bitcoin-testnet-rpc.xml 
--rw-r--r-- 1 root root  168 Feb   2021 cfengine.xml +-rw-r--r-- 1 root root 281 Aug   2023 bitcoin-testnet.xml 
--rw-r--r-- 1 root root  211 Feb  1  2021 cockpit.xml +-rw-r--r-- 1 root root 244 Aug   2023 bitcoin.xml 
--rw-r--r-- 1 root root  296 Feb   2021 collectd.xml +-rw-r--r-- 1 root root 410 Aug   2023 bittorrent-lsd.xml 
--rw-r--r-- 1 root root  260 Feb   2021 condor-collector.xml +-rw-r--r-- 1 root root 222 Aug   2023 ceph-exporter.xml 
--rw-r--r-- 1 root root  296 Feb  1  2021 ctdb.xml +-rw-r--r-- root root 294 Aug  2  2023 ceph-mon.xml 
--rw-r--r-- 1 root root  305 Feb  1  2021 dhcpv6-client.xml +-rw-r--r-- 1 root root 329 Aug   2023 ceph.xml 
--rw-r--r-- 1 root root  234 Feb  1  2021 dhcpv6.xml +-rw-r--r-- 1 root root 168 Aug   2023 cfengine.xml 
--rw-r--r-- 1 root root  227 Feb  1  2021 dhcp.xml +-rw-r--r-- 1 root root 234 Aug   2023 checkmk-agent.xml 
--rw-r--r-- 1 root root  205 Feb   2021 distcc.xml +-rw-r--r-- root root 211 Aug  2  2023 cockpit.xml 
--rw-r--r-- 1 root root  318 Feb   2021 dns-over-tls.xml +-rw-r--r-- 1 root root 296 Aug   2023 collectd.xml 
--rw-r--r-- 1 root root  346 Feb   2021 dns.xml +-rw-r--r-- 1 root root 260 Aug   2023 condor-collector.xml 
--rw-r--r-- 1 root root  374 Feb   2021 docker-registry.xml +-rw-r--r-- 1 root root 343 Aug   2023 cratedb.xml 
--rw-r--r-- 1 root root  391 Feb   2021 docker-swarm.xml +-rw-r--r-- root root 296 Aug  2  2023 ctdb.xml 
--rw-r--r-- 1 root root  228 Feb   2021 dropbox-lansync.xml +-rw-r--r-- 1 root root 981 Aug   2023 dds-multicast.xml 
--rw-r--r-- 1 root root  338 Feb   2021 elasticsearch.xml +-rw-r--r-- root root 947 Aug  2  2023 dds-unicast.xml 
--rw-r--r-- 1 root root  304 Feb   2021 etcd-client.xml +-rw-r--r-- 1 root root 574 Aug   2023 dds.xml 
--rw-r--r-- 1 root root  304 Feb   2021 etcd-server.xml +-rw-r--r-- root root 305 Aug  2  2023 dhcpv6-client.xml 
--rw-r--r-- 1 root root  224 Feb   2021 finger.xml +-rw-r--r-- 1 root root 234 Aug   2023 dhcpv6.xml 
--rw-r--r-- 1 root root  270 Feb   2021 foreman-proxy.xml +-rw-r--r-- root root 227 Aug  2  2023 dhcp.xml 
--rw-r--r-- 1 root root  408 Feb   2021 foreman.xml +-rw-r--r-- 1 root root 205 Aug   2023 distcc.xml 
--rw-r--r-- 1 root root  709 Feb   2021 freeipa-4.xml +-rw-r--r-- 1 root root 318 Aug   2023 dns-over-tls.xml 
--rw-r--r-- 1 root root  489 Feb   2021 freeipa-ldaps.xml +-rw-r--r-- 1 root root 346 Aug   2023 dns.xml 
--rw-r--r-- 1 root root  488 Feb   2021 freeipa-ldap.xml +-rw-r--r-- 1 root root 374 Aug   2023 docker-registry.xml 
--rw-r--r-- 1 root root  242 Feb   2021 freeipa-replication.xml +-rw-r--r-- 1 root root 391 Aug   2023 docker-swarm.xml 
--rw-r--r-- 1 root root  657 Feb   2021 freeipa-trust.xml +-rw-r--r-- 1 root root 228 Aug   2023 dropbox-lansync.xml 
--rw-r--r-- 1 root root  361 Feb   2021 ftp.xml +-rw-r--r-- 1 root root 338 Aug   2023 elasticsearch.xml 
--rw-r--r-- 1 root root  184 Feb  1  2021 ganglia-client.xml +-rw-r--r-- 1 root root 304 Aug   2023 etcd-client.xml 
--rw-r--r-- 1 root root  176 Feb   2021 ganglia-master.xml +-rw-r--r-- 1 root root 304 Aug   2023 etcd-server.xml 
--rw-r--r-- 1 root root  212 Feb   2021 git.xml +-rw-r--r-- 1 root root 224 Aug   2023 finger.xml 
--rw-r--r-- 1 root root  218 Feb  1  2021 grafana.xml +-rw-r--r-- 1 root root 270 Aug   2023 foreman-proxy.xml 
--rw-r--r-- 1 root root  119 Feb   2021 gre.xml +-rw-r--r-- 1 root root 408 Aug   2023 foreman.xml 
--rw-r--r-- 1 root root  608 Feb   2021 high-availability.xml +-rw-r--r-- 1 root root 709 Aug   2023 freeipa-4.xml 
--rw-r--r-- 1 root root  448 Feb  1  2021 https.xml +-rw-r--r-- 1 root root 489 Aug   2023 freeipa-ldaps.xml 
--rw-r--r-- 1 root root  353 Feb   2021 http.xml +-rw-r--r-- 1 root root 488 Aug   2023 freeipa-ldap.xml 
--rw-r--r-- 1 root root  372 Feb  1  2021 imaps.xml +-rw-r--r-- 1 root root 242 Aug   2023 freeipa-replication.xml 
--rw-r--r-- 1 root root  327 Feb   2021 imap.xml +-rw-r--r-- 1 root root 657 Aug   2023 freeipa-trust.xml 
--rw-r--r-- 1 root root  454 Feb  1  2021 ipp-client.xml +-rw-r--r-- 1 root root 361 Aug   2023 ftp.xml 
--rw-r--r-- 1 root root  427 Feb   2021 ipp.xml +-rw-r--r-- 1 root root 292 Aug   2023 galera.xml 
--rw-r--r-- 1 root root  894 Feb  1  2021 ipsec.xml +-rw-r--r-- root root 184 Aug  2  2023 ganglia-client.xml 
--rw-r--r-- 1 root root  255 Feb   2021 ircs.xml +-rw-r--r-- 1 root root 176 Aug   2023 ganglia-master.xml 
--rw-r--r-- 1 root root  247 Feb   2021 irc.xml +-rw-r--r-- 1 root root 212 Aug   2023 git.xml 
--rw-r--r-- 1 root root  264 Feb   2021 iscsi-target.xml +-rw-r--r-- 1 root root 406 Aug   2023 gpsd.xml 
--rw-r--r-- 1 root root  358 Feb   2021 isns.xml +-rw-r--r-- root root 218 Aug  2  2023 grafana.xml 
--rw-r--r-- 1 root root  213 Feb   2021 jenkins.xml +-rw-r--r-- 1 root root 119 Aug   2023 gre.xml 
--rw-r--r-- 1 root root  182 Feb   2021 kadmin.xml +-rw-r--r-- 1 root root 608 Aug   2023 high-availability.xml 
--rw-r--r-- 1 root root  272 Feb   2021 kdeconnect.xml +-rw-r--r-- 1 root root 336 Aug   2023 http3.xml 
--rw-r--r-- 1 root root  233 Feb   2021 kerberos.xml +-rw-r--r-- root root 448 Aug  2  2023 https.xml 
--rw-r--r-- 1 root root  384 Feb   2021 kibana.xml +-rw-r--r-- 1 root root 353 Aug   2023 http.xml 
--rw-r--r-- 1 root root  249 Feb   2021 klogin.xml +-rw-r--r-- 1 root root 293 Aug   2023 ident.xml 
--rw-r--r-- 1 root root  221 Feb   2021 kpasswd.xml +-rw-r--r-- root root 372 Aug  2  2023 imaps.xml 
--rw-r--r-- 1 root root  182 Feb   2021 kprop.xml +-rw-r--r-- 1 root root 327 Aug   2023 imap.xml 
--rw-r--r-- 1 root root  242 Feb   2021 kshell.xml +-rw-r--r-- 1 root root 315 Aug   2023 ipfs.xml 
--rw-r--r-- 1 root root  308 Feb   2021 kube-apiserver.xml +-rw-r--r-- root root 454 Aug  2  2023 ipp-client.xml 
--rw-r--r-- 1 root root  232 Feb  1  2021 ldaps.xml +-rw-r--r-- 1 root root 427 Aug   2023 ipp.xml 
--rw-r--r-- 1 root root  199 Feb  1  2021 ldap.xml +-rw-r--r-- 1 root root 895 Aug   2023 ipsec.xml 
--rw-r--r-- 1 root root  385 Feb  1  2021 libvirt-tls.xml +-rw-r--r-- 1 root root 255 Aug   2023 ircs.xml 
--rw-r--r-- 1 root root  389 Feb  1  2021 libvirt.xml +-rw-r--r-- 1 root root 247 Aug   2023 irc.xml 
--rw-r--r-- 1 root root  269 Feb  1  2021 lightning-network.xml +-rw-r--r-- 1 root root 264 Aug   2023 iscsi-target.xml 
--rw-r--r-- 1 root root  324 Feb  1  2021 llmnr.xml +-rw-r--r-- 1 root root 358 Aug   2023 isns.xml 
--rw-r--r-- 1 root root  349 Feb  1  2021 managesieve.xml +-rw-r--r-- 1 root root 213 Aug   2023 jenkins.xml 
--rw-r--r-- 1 root root  432 Feb  1  2021 matrix.xml +-rw-r--r-- 1 root root 182 Aug   2023 kadmin.xml 
--rw-r--r-- 1 root root  424 Feb   2021 mdns.xml +-rw-r--r-- 1 root root 272 Aug   2023 kdeconnect.xml 
--rw-r--r-- 1 root root  245 Feb   2021 memcache.xml +-rw-r--r-- 1 root root 233 Aug   2023 kerberos.xml 
--rw-r--r-- 1 root root  343 Feb  1  2021 minidlna.xml +-rw-r--r-- 1 root root 384 Aug   2023 kibana.xml 
--rw-r--r-- 1 root root  237 Feb   2021 mongodb.xml +-rw-r--r-- 1 root root 249 Aug   2023 klogin.xml 
--rw-r--r-- 1 root root  473 Feb   2021 mosh.xml +-rw-r--r-- 1 root root 221 Aug   2023 kpasswd.xml 
--rw-r--r-- 1 root root  211 Feb   2021 mountd.xml +-rw-r--r-- 1 root root 182 Aug   2023 kprop.xml 
--rw-r--r-- 1 root root  296 Feb   2021 mqtt-tls.xml +-rw-r--r-- 1 root root 242 Aug   2023 kshell.xml 
--rw-r--r-- 1 root root  287 Feb   2021 mqtt.xml +-rw-r--r-- 1 root root 308 Aug   2023 kube-apiserver.xml 
--rw-r--r-- 1 root root  170 Feb   2021 mssql.xml +-rw-r--r-- 1 root root 204 Aug   2023 kube-api.xml 
--rw-r--r-- 1 root root  190 Feb  1  2021 ms-wbt.xml +-rw-r--r-- root root 289 Aug  2  2023 kube-controller-manager-secure.xml 
--rw-r--r-- 1 root root  242 Feb   2021 murmur.xml +-rw-r--r-- 1 root root 280 Aug   2023 kube-controller-manager.xml 
--rw-r--r-- 1 root root  171 Feb   2021 mysql.xml +-rw-r--r-- root root 560 Aug  2  2023 kube-control-plane-secure.xml 
--rw-r--r-- 1 root root  250 Feb   2021 nbd.xml +-rw-r--r-- 1 root root 537 Aug   2023 kube-control-plane.xml 
--rw-r--r-- 1 root root  342 Feb  1  2021 nfs3.xml +-rw-r--r-- root root 244 Aug  2  2023 kubelet-readonly.xml 
--rw-r--r-- 1 root root  324 Feb  1  2021 nfs.xml +-rw-r--r-- 1 root root 212 Aug   2023 kubelet-worker.xml 
--rw-r--r-- 1 root root  293 Feb  1  2021 nmea-0183.xml +-rw-r--r-- root root 239 Aug  2  2023 kubelet.xml 
--rw-r--r-- 1 root root  247 Feb   2021 nrpe.xml +-rw-r--r-- 1 root root 224 Aug  2  2023 kube-nodeport-services.xml 
--rw-r--r-- 1 root root  389 Feb   2021 ntp.xml +-rw-r--r-- 1 root root 328 Aug  2  2023 kube-scheduler-secure.xml 
--rw-r--r-- 1 root root  368 Feb   2021 nut.xml +-rw-r--r-- 1 root root 319 Aug  2  2023 kube-scheduler.xml 
--rw-r--r-- 1 root root  335 Feb   2021 openvpn.xml +-rw-r--r-- 1 root root 374 Aug  2  2023 kube-worker.xml 
--rw-r--r-- 1 root root  260 Feb   2021 ovirt-imageio.xml +-rw-r--r-- 1 root root 232 Aug  2  2023 ldaps.xml 
--rw-r--r-- 1 root root  343 Feb   2021 ovirt-storageconsole.xml +-rw-r--r-- 1 root root 199 Aug  2  2023 ldap.xml 
--rw-r--r-- 1 root root  235 Feb   2021 ovirt-vmconsole.xml +-rw-r--r-- 1 root root 385 Aug  2  2023 libvirt-tls.xml 
--rw-r--r-- 1 root root 1024 Feb   2021 plex.xml +-rw-r--r-- 1 root root 389 Aug   2023 libvirt.xml 
--rw-r--r-- 1 root root  433 Feb   2021 pmcd.xml +-rw-r--r-- root root 269 Aug  2  2023 lightning-network.xml 
--rw-r--r-- 1 root root  474 Feb   2021 pmproxy.xml +-rw-r--r-- 1 root root 468 Aug   2023 llmnr-client.xml 
--rw-r--r-- 1 root root  544 Feb   2021 pmwebapis.xml +-rw-r--r-- root root 410 Aug  2  2023 llmnr-tcp.xml 
--rw-r--r-- 1 root root  460 Feb   2021 pmwebapi.xml +-rw-r--r-- 1 root root 463 Aug   2023 llmnr-udp.xml 
--rw-r--r-- 1 root root  357 Feb   2021 pop3s.xml +-rw-r--r-- root root 519 Aug  2  2023 llmnr.xml 
--rw-r--r-- 1 root root  348 Feb   2021 pop3.xml +-rw-r--r-- 1 root root 349 Aug   2023 managesieve.xml 
--rw-r--r-- 1 root root  181 Feb   2021 postgresql.xml +-rw-r--r-- root root 432 Aug  2  2023 matrix.xml 
--rw-r--r-- 1 root root  509 Feb   2021 privoxy.xml +-rw-r--r-- 1 root root 424 Aug   2023 mdns.xml 
--rw-r--r-- 1 root root  213 Feb  1  2021 prometheus.xml +-rw-r--r-- 1 root root 245 Aug   2023 memcache.xml 
--rw-r--r-- 1 root root  261 Feb   2021 proxy-dhcp.xml +-rw-r--r-- 1 root root 334 Aug   2023 minidlna.xml 
--rw-r--r-- 1 root root  424 Feb  1  2021 ptp.xml +-rw-r--r-- 1 root root 237 Aug   2023 mongodb.xml 
--rw-r--r-- 1 root root  414 Feb  1  2021 pulseaudio.xml +-rw-r--r-- 1 root root 473 Aug   2023 mosh.xml 
--rw-r--r-- 1 root root  297 Feb   2021 puppetmaster.xml +-rw-r--r-- 1 root root 211 Aug   2023 mountd.xml 
--rw-r--r-- 1 root root  273 Feb   2021 quassel.xml +-rw-r--r-- 1 root root 296 Aug   2023 mqtt-tls.xml 
--rw-r--r-- 1 root root  520 Feb   2021 radius.xml +-rw-r--r-- 1 root root 287 Aug   2023 mqtt.xml 
--rw-r--r-- 1 root root  183 Feb   2021 rdp.xml +-rw-r--r-- 1 root root 170 Aug   2023 mssql.xml 
--rw-r--r-- 1 root root  212 Feb   2021 redis-sentinel.xml +-rw-r--r-- 1 root root 180 Aug   2023 ms-wbt.xml 
--rw-r--r-- 1 root root  268 Feb   2021 redis.xml +-rw-r--r-- 1 root root 242 Aug   2023 murmur.xml 
--rw-r--r-- 1 root root  381 Feb   2021 RH-Satellite-6-capsule.xml +-rw-r--r-- 1 root root 171 Aug   2023 mysql.xml 
--rw-r--r-- 1 root root  556 Feb   2021 RH-Satellite-6.xml +-rw-r--r-- 1 root root 250 Aug   2023 nbd.xml 
--rw-r--r-- 1 root root  214 Feb   2021 rpc-bind.xml +-rw-r--r-- 1 root root 309 Aug   2023 nebula.xml 
--rw-r--r-- 1 root root  213 Feb   2021 rquotad.xml +-rw-r--r-- root root 262 Aug  2  2023 netbios-ns.xml 
--rw-r--r-- 1 root root  310 Feb   2021 rsh.xml +-rw-r--r-- 1 root root 243 Aug   2023 netdata-dashboard.xml 
--rw-r--r-- 1 root root  311 Feb   2021 rsyncd.xml +-rw-r--r-- root root 342 Aug  2  2023 nfs3.xml 
--rw-r--r-- 1 root root  350 Feb   2021 rtsp.xml +-rw-r--r-- 1 root root 324 Aug   2023 nfs.xml 
--rw-r--r-- 1 root root  329 Feb   2021 salt-master.xml +-rw-r--r-- root root 293 Aug  2  2023 nmea-0183.xml 
--rw-r--r-- 1 root root  371 Feb  1  2021 samba-client.xml +-rw-r--r-- 1 root root 247 Aug   2023 nrpe.xml 
--rw-r--r-- 1 root root 1298 Feb   2021 samba-dc.xml +-rw-r--r-- 1 root root 389 Aug   2023 ntp.xml 
--rw-r--r-- 1 root root  448 Feb  1  2021 samba.xml +-rw-r--r-- 1 root root 368 Aug   2023 nut.xml 
--rw-r--r-- 1 root root  324 Feb   2021 sane.xml +-rw-r--r-- 1 root root 335 Aug   2023 openvpn.xml 
--rw-r--r-- 1 root root  283 Feb   2021 sips.xml +-rw-r--r-- 1 root root 260 Aug   2023 ovirt-imageio.xml 
--rw-r--r-- 1 root root  496 Feb   2021 sip.xml +-rw-r--r-- 1 root root 343 Aug   2023 ovirt-storageconsole.xml 
--rw-r--r-- 1 root root  299 Feb   2021 slp.xml +-rw-r--r-- 1 root root 235 Aug   2023 ovirt-vmconsole.xml 
--rw-r--r-- 1 root root  231 Feb   2021 smtp-submission.xml +-rw-r--r-- 1 root root 869 Aug   2023 plex.xml 
--rw-r--r-- 1 root root  577 Feb   2021 smtps.xml +-rw-r--r-- 1 root root 433 Aug   2023 pmcd.xml 
--rw-r--r-- 1 root root  550 Feb   2021 smtp.xml +-rw-r--r-- 1 root root 474 Aug   2023 pmproxy.xml 
--rw-r--r-- 1 root root  308 Feb  1  2021 snmptrap.xml +-rw-r--r-- 1 root root 544 Aug   2023 pmwebapis.xml 
--rw-r--r-- 1 root root  342 Feb  1  2021 snmp.xml +-rw-r--r-- 1 root root 460 Aug   2023 pmwebapi.xml 
--rw-r--r-- 1 root root  405 Feb   2021 spideroak-lansync.xml +-rw-r--r-- 1 root root 357 Aug   2023 pop3s.xml 
--rw-r--r-- 1 root root  275 Feb   2021 spotify-sync.xml +-rw-r--r-- 1 root root 348 Aug   2023 pop3.xml 
--rw-r--r-- 1 root root  173 Feb   2021 squid.xml +-rw-r--r-- 1 root root 181 Aug   2023 postgresql.xml 
--rw-r--r-- 1 root root  421 Feb   2021 ssdp.xml +-rw-r--r-- 1 root root 509 Aug   2023 privoxy.xml 
--rw-r--r-- 1 root root  463 Feb   2021 ssh.xml +-rw-r--r-- 1 root root 226 Aug   2023 prometheus-node-exporter.xml 
--rw-r--r-- 1 root root  631 Feb   2021 steam-streaming.xml +-rw-r--r-- root root 213 Aug  2  2023 prometheus.xml 
--rw-r--r-- 1 root root  287 Feb   2021 svdrp.xml +-rw-r--r-- 1 root root 261 Aug   2023 proxy-dhcp.xml 
--rw-r--r-- 1 root root  231 Feb   2021 svn.xml +-rw-r--r-- 1 root root 262 Aug   2023 ps2link.xml 
--rw-r--r-- 1 root root  297 Feb   2021 syncthing-gui.xml +-rw-r--r-- root root 173 Aug  2  2023 ps3netsrv.xml 
--rw-r--r-- 1 root root  311 Feb  1  2021 syncthing.xml +-rw-r--r-- 1 root root 424 Aug   2023 ptp.xml 
--rw-r--r-- 1 root root  496 Feb  1  2021 synergy.xml +-rw-r--r-- root root 414 Aug  2  2023 pulseaudio.xml 
--rw-r--r-- 1 root root  444 Feb  1  2021 syslog-tls.xml +-rw-r--r-- 1 root root 297 Aug   2023 puppetmaster.xml 
--rw-r--r-- 1 root root  329 Feb  1  2021 syslog.xml +-rw-r--r-- 1 root root 273 Aug   2023 quassel.xml 
--rw-r--r-- 1 root root  393 Feb  1  2021 telnet.xml +-rw-r--r-- 1 root root 520 Aug   2023 radius.xml 
--rw-r--r-- 1 root root  252 Feb  1  2021 tentacle.xml +-rw-r--r-- 1 root root 183 Aug   2023 rdp.xml 
--rw-r--r-- 1 root root  288 Feb  1  2021 tftp-client.xml +-rw-r--r-- 1 root root 212 Aug   2023 redis-sentinel.xml 
--rw-r--r-- 1 root root  424 Feb   2021 tftp.xml +-rw-r--r-- 1 root root 268 Aug   2023 redis.xml 
--rw-r--r-- 1 root root  221 Feb   2021 tile38.xml +-rw-r--r-- 1 root root 381 Aug   2023 RH-Satellite-6-capsule.xml 
--rw-r--r-- 1 root root  336 Feb   2021 tinc.xml +-rw-r--r-- 1 root root 556 Aug   2023 RH-Satellite-6.xml 
--rw-r--r-- 1 root root  771 Feb   2021 tor-socks.xml +-rw-r--r-- 1 root root 214 Aug   2023 rpc-bind.xml 
--rw-r--r-- 1 root root  244 Feb   2021 transmission-client.xml +-rw-r--r-- 1 root root 213 Aug   2023 rquotad.xml 
--rw-r--r-- 1 root root  264 Feb   2021 upnp-client.xml +-rw-r--r-- 1 root root 310 Aug   2023 rsh.xml 
--rw-r--r-- 1 root root  593 Feb   2021 vdsm.xml +-rw-r--r-- 1 root root 311 Aug   2023 rsyncd.xml 
--rw-r--r-- 1 root root  475 Feb   2021 vnc-server.xml +-rw-r--r-- 1 root root 350 Aug   2023 rtsp.xml 
--rw-r--r-- 1 root root  310 Feb  1  2021 wbem-https.xml +-rw-r--r-- 1 root root 329 Aug   2023 salt-master.xml 
--rw-r--r-- 1 root root  352 Feb   2021 wbem-http.xml +-rw-r--r-- 1 root root 339 Aug   2023 samba-client.xml 
--rw-r--r-- 1 root root  323 Feb  1  2021 wsmans.xml +-rw-r--r-- 1 root root 782 Aug   2023 samba-dc.xml 
--rw-r--r-- 1 root root  316 Feb  1  2021 wsman.xml +-rw-r--r-- 1 root root 382 Aug   2023 samba.xml 
--rw-r--r-- 1 root root  329 Feb  1  2021 xdmcp.xml +-rw-r--r-- 1 root root 324 Aug   2023 sane.xml 
--rw-r--r-- 1 root root  509 Feb  1  2021 xmpp-bosh.xml +-rw-r--r-- 1 root root 283 Aug   2023 sips.xml 
--rw-r--r-- 1 root root  488 Feb   2021 xmpp-client.xml +-rw-r--r-- 1 root root 496 Aug   2023 sip.xml 
--rw-r--r-- 1 root root  264 Feb   2021 xmpp-local.xml +-rw-r--r-- 1 root root 299 Aug   2023 slp.xml 
--rw-r--r-- 1 root root  545 Feb   2021 xmpp-server.xml +-rw-r--r-- 1 root root 231 Aug   2023 smtp-submission.xml 
--rw-r--r-- 1 root root  314 Feb   2021 zabbix-agent.xml +-rw-r--r-- 1 root root 577 Aug   2023 smtps.xml 
--rw-r--r-- 1 root root  315 Feb   2021 zabbix-server.xml+-rw-r--r-- 1 root root 550 Aug   2023 smtp.xml 
 +-rw-r--r-- 1 root root 359 Aug   2023 snmptls-trap.xml 
 +-rw-r--r-- root root 390 Aug  2  2023 snmptls.xml 
 +-rw-r--r-- 1 root root 308 Aug   2023 snmptrap.xml 
 +-rw-r--r-- root root 342 Aug  2  2023 snmp.xml 
 +-rw-r--r-- 1 root root 405 Aug   2023 spideroak-lansync.xml 
 +-rw-r--r-- 1 root root 275 Aug   2023 spotify-sync.xml 
 +-rw-r--r-- 1 root root 173 Aug   2023 squid.xml 
 +-rw-r--r-- 1 root root 421 Aug   2023 ssdp.xml 
 +-rw-r--r-- 1 root root 463 Aug   2023 ssh.xml 
 +-rw-r--r-- 1 root root 631 Aug   2023 steam-streaming.xml 
 +-rw-r--r-- 1 root root 287 Aug   2023 svdrp.xml 
 +-rw-r--r-- 1 root root 231 Aug   2023 svn.xml 
 +-rw-r--r-- 1 root root 297 Aug   2023 syncthing-gui.xml 
 +-rw-r--r-- 1 root root 414 Aug   2023 syncthing-relay.xml 
 +-rw-r--r-- 1 root root 350 Aug   2023 syncthing.xml 
 +-rw-r--r-- 1 root root 496 Aug   2023 synergy.xml 
 +-rw-r--r-- 1 root root 444 Aug   2023 syslog-tls.xml 
 +-rw-r--r-- 1 root root 329 Aug   2023 syslog.xml 
 +-rw-r--r-- 1 root root 393 Aug   2023 telnet.xml 
 +-rw-r--r-- 1 root root 252 Aug   2023 tentacle.xml 
 +-rw-r--r-- 1 root root 424 Aug   2023 tftp.xml 
 +-rw-r--r-- 1 root root 221 Aug   2023 tile38.xml 
 +-rw-r--r-- 1 root root 336 Aug   2023 tinc.xml 
 +-rw-r--r-- 1 root root 771 Aug   2023 tor-socks.xml 
 +-rw-r--r-- 1 root root 244 Aug   2023 transmission-client.xml 
 +-rw-r--r-- 1 root root 264 Aug   2023 upnp-client.xml 
 +-rw-r--r-- 1 root root 593 Aug   2023 vdsm.xml 
 +-rw-r--r-- 1 root root 475 Aug   2023 vnc-server.xml 
 +-rw-r--r-- 1 root root 443 Aug   2023 warpinator.xml 
 +-rw-r--r-- root root 310 Aug  2  2023 wbem-https.xml 
 +-rw-r--r-- 1 root root 352 Aug   2023 wbem-http.xml 
 +-rw-r--r-- 1 root root 285 Aug   2023 wireguard.xml 
 +-rw-r--r-- root root 355 Aug  2  2023 ws-discovery-client.xml 
 +-rw-r--r-- 1 root root 320 Aug   2023 ws-discovery-tcp.xml 
 +-rw-r--r-- root root 375 Aug  2  2023 ws-discovery-udp.xml 
 +-rw-r--r-- 1 root root 357 Aug   2023 ws-discovery.xml 
 +-rw-r--r-- root root 323 Aug  2  2023 wsmans.xml 
 +-rw-r--r-- 1 root root 316 Aug   2023 wsman.xml 
 +-rw-r--r-- root root 329 Aug  2  2023 xdmcp.xml 
 +-rw-r--r-- 1 root root 509 Aug  2  2023 xmpp-bosh.xml 
 +-rw-r--r-- 1 root root 488 Aug   2023 xmpp-client.xml 
 +-rw-r--r-- 1 root root 264 Aug   2023 xmpp-local.xml 
 +-rw-r--r-- 1 root root 545 Aug   2023 xmpp-server.xml 
 +-rw-r--r-- 1 root root 314 Aug   2023 zabbix-agent.xml 
 +-rw-r--r-- 1 root root 315 Aug   2023 zabbix-server.xml 
 +-rw-r--r-- 1 root root 242 Aug  2  2023 zerotier.xml
  
 /usr/lib/firewalld/zones: /usr/lib/firewalld/zones:
 total 40 total 40
--rw-r--r-- 1 root root 299 Feb   2021 block.xml +-rw-r--r-- 1 root root 312 Aug   2023 block.xml 
--rw-r--r-- 1 root root 293 Feb   2021 dmz.xml +-rw-r--r-- 1 root root 306 Aug   2023 dmz.xml 
--rw-r--r-- 1 root root 291 Feb   2021 drop.xml +-rw-r--r-- 1 root root 304 Aug   2023 drop.xml 
--rw-r--r-- 1 root root 304 Feb   2021 external.xml +-rw-r--r-- 1 root root 317 Aug   2023 external.xml 
--rw-r--r-- 1 root root 369 Feb   2021 home.xml +-rw-r--r-- 1 root root 382 Aug   2023 home.xml 
--rw-r--r-- 1 root root 384 Feb   2021 internal.xml +-rw-r--r-- 1 root root 397 Aug   2023 internal.xml 
--rw-r--r-- 1 root root 729 Apr 12  2021 nm-shared.xml +-rw-r--r-- 1 root root 729 Mar 22  2025 nm-shared.xml 
--rw-r--r-- 1 root root 315 Feb   2021 public.xml +-rw-r--r-- 1 root root 328 Aug   2023 public.xml 
--rw-r--r-- 1 root root 162 Feb   2021 trusted.xml +-rw-r--r-- 1 root root 175 Aug   2023 trusted.xml 
--rw-r--r-- 1 root root 311 Feb   2021 work.xml+-rw-r--r-- 1 root root 324 Aug   2023 work.xml
 </code> </code>
  
Ligne 453: Ligne 423:
  
 <code> <code>
-root@debian11:~# cat /usr/lib/firewalld/zones/home.xml<?xml version="1.0" encoding="utf-8"?>+root@debian12:~# cat /usr/lib/firewalld/zones/home.xml 
 +<?xml version="1.0" encoding="utf-8"?>
 <zone> <zone>
   <short>Home</short>   <short>Home</short>
Ligne 461: Ligne 432:
   <service name="samba-client"/>   <service name="samba-client"/>
   <service name="dhcpv6-client"/>   <service name="dhcpv6-client"/>
 +  <forward/>
 </zone> </zone>
 </code> </code>
Ligne 467: Ligne 439:
  
 <code> <code>
-root@debian11:~# ls -lR /etc/firewalld/+root@debian12:~# ls -lR /etc/firewalld/
 /etc/firewalld/: /etc/firewalld/:
 total 32 total 32
--rw-r--r-- 1 root root 2745 Feb   2021 firewalld.conf +-rw-r--r-- 1 root root 2483 Aug   2023 firewalld.conf 
-drwxr-xr-x 2 root root 4096 Feb   2021 helpers +drwxr-xr-x 2 root root 4096 Aug   2023 helpers 
-drwxr-xr-x 2 root root 4096 Feb   2021 icmptypes +drwxr-xr-x 2 root root 4096 Aug   2023 icmptypes 
-drwxr-xr-x 2 root root 4096 Feb   2021 ipsets +drwxr-xr-x 2 root root 4096 Aug   2023 ipsets 
--rw-r--r-- 1 root root  268 Feb   2021 lockdown-whitelist.xml +-rw-r--r-- 1 root root  268 Aug   2023 lockdown-whitelist.xml 
-drwxr-xr-x 2 root root 4096 Feb   2021 policies +drwxr-xr-x 2 root root 4096 Aug   2023 policies 
-drwxr-xr-x 2 root root 4096 Feb   2021 services +drwxr-xr-x 2 root root 4096 Aug   2023 services 
-drwxr-xr-x 2 root root 4096 Feb   2021 zones+drwxr-xr-x 2 root root 4096 Aug   2023 zones
  
 /etc/firewalld/helpers: /etc/firewalld/helpers:
Ligne 501: Ligne 473:
  
 <code> <code>
-root@debian11:~# cat /etc/firewalld/firewalld.conf+root@debian12:~# cat /etc/firewalld/firewalld.conf
 # firewalld config file # firewalld config file
  
Ligne 511: Ligne 483:
 # Clean up on exit # Clean up on exit
 # If set to no or false the firewall configuration will not get cleaned up # If set to no or false the firewall configuration will not get cleaned up
-# on exit or stop of firewalld+# on exit or stop of firewalld.
 # Default: yes # Default: yes
 CleanupOnExit=yes CleanupOnExit=yes
 +
 +# Clean up kernel modules on exit
 +# If set to yes or true the firewall related kernel modules will be
 +# unloaded on exit or stop of firewalld. This might attempt to unload
 +# modules not originally loaded by firewalld.
 +# Default: no
 +CleanupModulesOnExit=no
  
 # Lockdown # Lockdown
Ligne 524: Ligne 503:
 # IPv6_rpfilter # IPv6_rpfilter
 # Performs a reverse path filter test on a packet for IPv6. If a reply to the # Performs a reverse path filter test on a packet for IPv6. If a reply to the
-# packet would be sent via the same interface that the packet arrived on, the +# packet would be sent via the same interface that the packet arrived on, the
 # packet will match and be accepted, otherwise dropped. # packet will match and be accepted, otherwise dropped.
 # The rp_filter for IPv4 is controlled using sysctl. # The rp_filter for IPv4 is controlled using sysctl.
 +# Note: This feature has a performance impact. See man page FIREWALLD.CONF(5)
 +# for details.
 # Default: yes # Default: yes
 IPv6_rpfilter=yes IPv6_rpfilter=yes
Ligne 549: Ligne 530:
 #       - nftables (default) #       - nftables (default)
 #       - iptables (iptables, ip6tables, ebtables and ipset) #       - iptables (iptables, ip6tables, ebtables and ipset)
 +# Note: The iptables backend is deprecated. It will be removed in a future
 +# release.
 FirewallBackend=nftables FirewallBackend=nftables
  
Ligne 565: Ligne 548:
 # Defaults to "yes". # Defaults to "yes".
 RFC3964_IPv4=yes RFC3964_IPv4=yes
- 
-# AllowZoneDrifting 
-# Older versions of firewalld had undocumented behavior known as "zone 
-# drifting". This allowed packets to ingress multiple zones - this is a 
-# violation of zone based firewalls. However, some users rely on this behavior 
-# to have a "catch-all" zone, e.g. the default zone. You can enable this if you 
-# desire such behavior. It's disabled by default for security reasons. 
-# Note: If "yes" packets will only drift from source based zones to interface 
-# based zones (including the default zone). Packets never drift from interface 
-# based zones to other interfaces based zones (including the default zone). 
-# Possible values; "yes", "no". Defaults to "no". 
-AllowZoneDrifting=no 
 </code> </code>
  
 ==1.2 - La Commande firewall-cmd== ==1.2 - La Commande firewall-cmd==
  
-firewalld s'appuie sur netfilter. Pour cette raison, l'utilisation de firewall-cmd est incompatible avec l'utilisation des commandes iptables et system-config-firewall. +<WRAP center round important 50%>
- +
-<WRAP center round important>+
 **Important** - firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outil de configuration graphique. **Important** - firewall-cmd est le front-end de firewalld en ligne de commande. Il existe aussi la commande **firewall-config** qui lance un outil de configuration graphique.
 </WRAP> </WRAP>
Ligne 590: Ligne 559:
  
 <code> <code>
-root@debian11:~# firewall-cmd --get-zones+root@debian12:~# firewall-cmd --get-zones
 block dmz drop external home internal nm-shared public trusted work block dmz drop external home internal nm-shared public trusted work
 </code> </code>
Ligne 597: Ligne 566:
  
 <code> <code>
-root@debian11:~# firewall-cmd --get-services +root@debian12:~# firewall-cmd --get-services 
-RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server+RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp amqps apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent cockpit collectd condor-collector cratedb ctdb dds dds-multicast dds-unicast dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git gpsd grafana gre high-availability http http3 https ident imap imaps ipfs ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-control-plane-secure kube-controller-manager kube-controller-manager-secure kube-nodeport-services kube-scheduler kube-scheduler-secure kube-worker kubelet kubelet-readonly kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr llmnr-client llmnr-tcp llmnr-udp managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nebula netbios-ns netdata-dashboard nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus prometheus-node-exporter proxy-dhcp ps2link ps3netsrv ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptls snmptls-trap snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui syncthing-relay synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server warpinator wbem-http wbem-https wireguard ws-discovery ws-discovery-client ws-discovery-tcp ws-discovery-udp wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server zerotier
 </code> </code>
  
Ligne 604: Ligne 573:
  
 <code> <code>
-root@debian11:~# firewall-cmd --get-icmptypes+root@debian12:~# firewall-cmd --get-icmptypes
 address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect reject-route required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option address-unreachable bad-header beyond-scope communication-prohibited destination-unreachable echo-reply echo-request failed-policy fragmentation-needed host-precedence-violation host-prohibited host-redirect host-unknown host-unreachable ip-header-bad neighbour-advertisement neighbour-solicitation network-prohibited network-redirect network-unknown network-unreachable no-route packet-too-big parameter-problem port-unreachable precedence-cutoff protocol-unreachable redirect reject-route required-option-missing router-advertisement router-solicitation source-quench source-route-failed time-exceeded timestamp-reply timestamp-request tos-host-redirect tos-host-unreachable tos-network-redirect tos-network-unreachable ttl-zero-during-reassembly ttl-zero-during-transit unknown-header-type unknown-option
 </code> </code>
Ligne 611: Ligne 580:
  
 <code> <code>
-root@debian11:~# firewall-cmd --get-active-zones+root@debian12:~# firewall-cmd --get-active-zones
 public public
   interfaces: ens18   interfaces: ens18
Ligne 619: Ligne 588:
  
 <code> <code>
-root@debian11:~# firewall-cmd --get-zone-of-interface=ens18+root@debian12:~# firewall-cmd --get-zone-of-interface=ens18
 public public
 </code> </code>
Ligne 626: Ligne 595:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=public --list-services+root@debian12:~# firewall-cmd --zone=public --list-services
 dhcpv6-client ssh dhcpv6-client ssh
 </code> </code>
Ligne 633: Ligne 602:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=public --list-all+root@debian12:~# firewall-cmd --zone=public --list-all
 public (active) public (active)
   target: default   target: default
Ligne 642: Ligne 611:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 653: Ligne 622:
  
 <code> <code>
-root@debian11:~# firewall-cmd --list-all-zones+root@debian12:~# firewall-cmd --list-all-zones
 block block
   target: %%REJECT%%   target: %%REJECT%%
Ligne 662: Ligne 631:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 677: Ligne 646:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 692: Ligne 661:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 707: Ligne 676:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: yes   masquerade: yes
   forward-ports:    forward-ports: 
Ligne 722: Ligne 691:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 737: Ligne 706:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 768: Ligne 737:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 783: Ligne 752:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 798: Ligne 767:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
   source-ports:    source-ports: 
   icmp-blocks:    icmp-blocks: 
-  rich rules:  +  rich rules:
 </code> </code>
  
Ligne 810: Ligne 778:
  
 <code> <code>
-root@debian11:~# firewall-cmd --set-default-zone=work+root@debian12:~# firewall-cmd --set-default-zone=work
 success success
-root@debian11:~# firewall-cmd --get-active-zones+ 
 +root@debian12:~# firewall-cmd --get-active-zones
 work work
   interfaces: ens18   interfaces: ens18
 </code> </code>
  
-Pour ajouter l'interface ip_fixe à la zone workutilisez la commande suivante :+Créez un profil Network Managerdénommez **ip_fixe** et rattaché au périphérique **ens18** :
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --add-interface=ip_fixe+root@debian12:~# nmcli connection add con-name ip_fixe ifname ens18 type ethernet ip4 10.0.2.46/24 gw4 10.0.2.1 
 +Connection 'ip_fixe' (33c26470-0968-4646-a88a-a22f10fab6da) successfully added. 
 + 
 +root@debian12:~# nmcli c show 
 +NAME                UUID                                  TYPE      DEVICE  
 +Wired connection 1  77c569e6-3176-4c10-8008-40d7634d2504  ethernet  ens18   
 +lo                  c4172990-a224-464f-a1de-9820ca5e83c8  loopback  lo      
 +ip_fixe             33c26470-0968-4646-a88a-a22f10fab6da  ethernet  --   
 + 
 +root@debian12:~# nmcli connection up ip_fixe 
 +Connection successfully activated (D-Bus active path: /org/freedesktop/NetworkManager/ActiveConnection/3) 
 + 
 +root@debian12:~# nmcli c show 
 +NAME                UUID                                  TYPE      DEVICE  
 +ip_fixe             33c26470-0968-4646-a88a-a22f10fab6da  ethernet  ens18   
 +lo                  c4172990-a224-464f-a1de-9820ca5e83c8  loopback  lo      
 +Wired connection 1  77c569e6-3176-4c10-8008-40d7634d2504  ethernet  --  
 + 
 +root@debian12:~# nmcli connection mod ip_fixe ipv4.dns 8.8.8.8 
 + 
 +root@debian12:~# systemctl restart NetworkManager.service 
 +</code> 
 + 
 +Pour ajouter le profil ip_fixe à la zone work, utilisez la commande suivante : 
 + 
 +<code> 
 +root@debian12:~# firewall-cmd --zone=work --add-interface=ip_fixe
 success success
-root@debian11:~# firewall-cmd --get-active-zones+ 
 +root@debian12:~# firewall-cmd --get-active-zones
 work work
   interfaces: ens18 ip_fixe   interfaces: ens18 ip_fixe
Ligne 830: Ligne 826:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --remove-interface=ip_fixe+root@debian12:~# firewall-cmd --zone=work --remove-interface=ip_fixe
 success success
-root@debian11:~# firewall-cmd --get-active-zones+ 
 +root@debian12:~# firewall-cmd --get-active-zones
 work work
   interfaces: ens18   interfaces: ens18
Ligne 849: Ligne 846:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --remove-service=http+root@debian12:~# firewall-cmd --zone=work --add-service=http
 success success
-root@debian11:~# firewall-cmd --zone=work --list-services + 
-dhcpv6-client ssh+root@debian12:~# firewall-cmd --zone=work --list-services 
 +dhcpv6-client http ssh
 </code> </code>
  
Ligne 858: Ligne 856:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --add-icmp-block=echo-reply+root@debian12:~# firewall-cmd --zone=work --add-icmp-block=echo-reply
 success success
-root@debian11:~# firewall-cmd --zone=work --list-icmp-blocks+ 
 +root@debian12:~# firewall-cmd --zone=work --list-icmp-blocks
 echo-reply echo-reply
 </code> </code>
Ligne 867: Ligne 866:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --remove-icmp-block=echo-reply+root@debian12:~# firewall-cmd --zone=work --remove-icmp-block=echo-reply
 success success
-root@debian11:~# firewall-cmd --zone=work --list-icmp-blocks 
  
-root@debian11:~#  +root@debian12:~# firewall-cmd --zone=work --list-icmp-blocks 
 + 
 +root@debian12:~#   
 </code> </code>
  
Ligne 877: Ligne 877:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --add-port=591/tcp+root@debian12:~# firewall-cmd --zone=work --add-port=591/tcp
 success success
-root@debian11:~# firewall-cmd --zone=work --list-ports+ 
 +root@debian12:~# firewall-cmd --zone=work --list-ports
 591/tcp 591/tcp
 </code> </code>
Ligne 886: Ligne 887:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=work --remove-port=591/tcp+root@debian12:~# firewall-cmd --zone=work --remove-port=591/tcp
 success success
-root@debian11:~# firewall-cmd --zone=work --list-ports 
  
-root@debian11:~# +root@debian12:~# firewall-cmd --zone=work --list-ports 
 + 
 +root@debian12:~#  
 </code> </code>
  
Ligne 903: Ligne 905:
  
 <code> <code>
-root@debian11:~# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml +root@debian12:~# cp /usr/lib/firewalld/services/http.xml /etc/firewalld/services/filemaker.xml
- +
-root@debian11:~# cat /etc/firewalld/services/filemaker.xml +
-<?xml version="1.0" encoding="utf-8"?> +
-<service> +
-  <short>WWW (HTTP)</short> +
-  <description>HTTP is the protocol used to serve Web pages. If you plan to make your Web server publicly available, enable this option. This option is not required for viewing pages locally or developing Web pages.</description> +
-  <port protocol="tcp" port="80"/> +
-</service>+
  
-root@debian11:~# vi /etc/firewalld/services/filemaker.xml+root@debian12:~# vi /etc/firewalld/services/filemaker.xml
  
-root@debian11:~# cat /etc/firewalld/services/filemaker.xml+root@debian12:~# cat /etc/firewalld/services/filemaker.xml
 <?xml version="1.0" encoding="utf-8"?> <?xml version="1.0" encoding="utf-8"?>
 <service> <service>
Ligne 923: Ligne 917:
 </service> </service>
  
-root@debian11:~# firewall-cmd --reload+root@debian12:~# firewall-cmd --reload
 success success
  
-root@debian11:~# firewall-cmd --get-services +root@debian12:~# firewall-cmd --get-services 
-RH-Satellite-6 RH-Satellite-6-capsule amanda-client amanda-k5-client amqp amqps apcupsd audit bacula bacula-client bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-mon cfengine cockpit collectd condor-collector ctdb dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server filemaker finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp ganglia-client ganglia-master git grafana gre high-availability http https imap imaps ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-apiserver ldap ldaps libvirt libvirt-tls lightning-network llmnr managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus proxy-dhcp ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui synergy syslog syslog-tls telnet tentacle tftp tftp-client tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server wbem-http wbem-https wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server+RH-Satellite-6 RH-Satellite-6-capsule afp amanda-client amanda-k5-client amqp amqps apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent cockpit collectd condor-collector cratedb ctdb dds dds-multicast dds-unicast dhcp dhcpv6 dhcpv6-client distcc dns dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server filemaker finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git gpsd grafana gre high-availability http http3 https ident imap imaps ipfs ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver kube-control-plane kube-control-plane-secure kube-controller-manager kube-controller-manager-secure kube-nodeport-services kube-scheduler kube-scheduler-secure kube-worker kubelet kubelet-readonly kubelet-worker ldap ldaps libvirt libvirt-tls lightning-network llmnr llmnr-client llmnr-tcp llmnr-udp managesieve matrix mdns memcache minidlna mongodb mosh mountd mqtt mqtt-tls ms-wbt mssql murmur mysql nbd nebula netbios-ns netdata-dashboard nfs nfs3 nmea-0183 nrpe ntp nut openvpn ovirt-imageio ovirt-storageconsole ovirt-vmconsole plex pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy prometheus prometheus-node-exporter proxy-dhcp ps2link ps3netsrv ptp pulseaudio puppetmaster quassel radius rdp redis redis-sentinel rpc-bind rquotad rsh rsyncd rtsp salt-master samba samba-client samba-dc sane sip sips slp smtp smtp-submission smtps snmp snmptls snmptls-trap snmptrap spideroak-lansync spotify-sync squid ssdp ssh steam-streaming svdrp svn syncthing syncthing-gui syncthing-relay synergy syslog syslog-tls telnet tentacle tftp tile38 tinc tor-socks transmission-client upnp-client vdsm vnc-server warpinator wbem-http wbem-https wireguard ws-discovery ws-discovery-client ws-discovery-tcp ws-discovery-udp wsman wsmans xdmcp xmpp-bosh xmpp-client xmpp-local xmpp-server zabbix-agent zabbix-server zerotier
 </code> </code>
  
 ==1.3 - La Configuration Avancée de firewalld== ==1.3 - La Configuration Avancée de firewalld==
  
-La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependant firewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**. +La configuration de base de firewalld ne permet que la configuration des zones, services, blocs ICMP et les ports non-standard. Cependantfirewalld peut également être configuré avec des **Rich Rules** ou **//Règles Riches//**. Rich Rules ou Règles Riches évaluent des **critères** pour ensuite entreprendre une **action**. 
  
 Les **Critères** sont : Les **Critères** sont :
Ligne 951: Ligne 945:
  
 <code> <code>
-root@debian11:~# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept'+root@debian12:~# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept'
 success success
 </code> </code>
Ligne 966: Ligne 960:
  
 <code> <code>
-root@debian11:~# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent+root@debian12:~# firewall-cmd --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent
 success success
  
-root@debian11:~# cat /etc/firewalld/zones/work.xml+root@debian12:~# cat /etc/firewalld/zones/work.xml
 <?xml version="1.0" encoding="utf-8"?> <?xml version="1.0" encoding="utf-8"?>
 <zone> <zone>
Ligne 980: Ligne 974:
     <accept/>     <accept/>
   </rule>   </rule>
 +  <forward/>
 </zone> </zone>
 </code> </code>
  
 <WRAP center round important 50%> <WRAP center round important 50%>
-**Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte imédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** être écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent.+**Important** - Attention ! La règle ajoutée avec l'option --permanent n'est pas prise en compte immédiatement mais uniquement au prochain redémmarge. Pour qu'une règle soit appliquée immédiatement **et** écrite sur disque, il faut saisir la commande deux fois dont une avec l'option --permanent et l'autre sans l'option --permanent.
 </WRAP> </WRAP>
  
Ligne 990: Ligne 985:
  
 <code> <code>
-root@debian11:~# firewall-cmd --reload+root@debian12:~# firewall-cmd --reload
 success success
  
-root@debian11:~# firewall-cmd --zone=work --list-all+root@debian12:~# firewall-cmd --zone=work --list-all
 work (active) work (active)
   target: default   target: default
Ligne 1002: Ligne 997:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 1009: Ligne 1004:
   rich rules:    rich rules: 
         rule port port="80" protocol="tcp" accept         rule port port="80" protocol="tcp" accept
- 
 </code> </code>
  
Ligne 1015: Ligne 1009:
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept'+root@debian12:~# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept'
 success success
  
-root@debian11:~# firewall-cmd --reload+root@debian12:~# firewall-cmd --reload
 success success
  
-root@debian11:~# firewall-cmd --zone=public --list-all+root@debian12:~# firewall-cmd --zone=public --list-all
 public public
   target: default   target: default
Ligne 1030: Ligne 1024:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 1036: Ligne 1030:
   icmp-blocks:    icmp-blocks: 
   rich rules:    rich rules: 
- +   
-root@debian11:~# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent+root@debian12:~# firewall-cmd --zone=public --add-rich-rule='rule port port="80" protocol="tcp" accept' --permanent
 success success
  
-root@debian11:~# firewall-cmd --zone=public --list-all+root@debian12:~# firewall-cmd --zone=public --list-all
 public public
   target: default   target: default
Ligne 1049: Ligne 1043:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 1055: Ligne 1049:
   icmp-blocks:    icmp-blocks: 
   rich rules:    rich rules: 
- +   
-root@debian11:~# firewall-cmd --reload+root@debian12:~# firewall-cmd --reload
 success success
  
-root@debian11:~# firewall-cmd --zone=public --list-all+root@debian12:~# firewall-cmd --zone=public --list-all
 public public
   target: default   target: default
Ligne 1068: Ligne 1062:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
Ligne 1076: Ligne 1070:
         rule port port="80" protocol="tcp" accept         rule port port="80" protocol="tcp" accept
 </code> </code>
- 
  
 Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** : Pour supprimer une Rich Rule, il faut copier la ligne entière la concernant qui se trouve dans la sortie de la commande **firewall-cmd --list-all-zones** :
  
 <code> <code>
-root@debian11:~# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept'+root@debian12:~# firewall-cmd --zone=public --remove-rich-rule='rule port port="80" protocol="tcp" accept'
 success success
  
-root@debian11:~# firewall-cmd --zone=public --list-all+root@debian12:~# firewall-cmd --zone=public --list-all
 public public
   target: default   target: default
Ligne 1093: Ligne 1086:
   ports:    ports: 
   protocols:    protocols: 
-  forward: no+  forward: yes
   masquerade: no   masquerade: no
   forward-ports:    forward-ports: 
   source-ports:    source-ports: 
   icmp-blocks:    icmp-blocks: 
-  rich rules:+  rich rules: 
 </code> </code>
  
Ligne 1106: Ligne 1099:
  
 <code> <code>
-root@debian8:~# firewall-cmd --query-panic+root@debian12:~# firewall-cmd --query-panic
 no no
 </code> </code>
  
 Pour activer le mode Panic, il convient de saisir la commande suivante : Pour activer le mode Panic, il convient de saisir la commande suivante :
 +
 +<WRAP center round important 50%>
 +**Important** - Veuillez ne PAS saisir la commande suivante !!
 +</WRAP>
  
 <code> <code>
Ligne 1125: Ligne 1122:
 ----- -----
 Copyright © 2025 Hugh Norris. Copyright © 2025 Hugh Norris.
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
- 
  

Piste : LDF400 - Administration de la Sécurité

Menu