Pare-feu

Rôle du pare-feu

Variables par défaut

Configuration

Vous pouvez utiliser les variables configure_firewalld ou configure_iptables pour déterminer quel service sera configuré. Il ne faut choisir qu'une seule option, pas les deux.

Utilisation d'IPTables

Cette règle redirige le port 80 vers le port 8080

iptables_rules:

  - table: nat
    chain: PREROUTING
    in_interface: {{ ansible_default_ipv4.alias }}
    protocol: tcp
    match: tcp
    destination_port: 80
    jump: REDIRECT
    to_ports: 8080
    comment: "Rediriger le port 80 vers 8080"

Cette règle accepte toutes les connexions établies et connexes, ce qui est très utile pour réduire le temps pendant lequel les connexions réseau sont filtrées. Notez que la variable ctstate attend une liste d'états.

  iptables_rules:

    - chain: INPUT
      ctstate:
        - ESTABLISHED
        - RELATED
      jump: ACCEPT

Ces règles acceptent les connexions SSH en provenance de 192.168/16 et 10.0/8

  iptables_rules:

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '10.0.0.0/8'
      table: filter
      destination_port: '22'
      jump: ACCEPT

    - chain: INPUT
      ctstate:
        - NEW
      protocol: tcp
      source: '192.168.0.0/16'
      table: filter
      destination_port: '22'
      jump: ACCEPT

Utilisation de Firewalld

Ces variables configureront le service firewalld pour accepter les connexions SSH provenant de 192.168/16 et 10.0/8

firewalld_default_zone: public
firewalld_zone_interface: []
firewalld_zone_source:
  - zone: work
    source: 10.0.0.0/8
  - zone: work
    source: 192.168.0.0/16
firewalld_service_rules:
  - zone: work
    service: ssh
firewalld_port_rules: []
firewalld_rich_rules: []

Alternativement, vous pouvez activer/désactiver n'importe quelle zone, interface, service, port ou règle riche.

Gestionnaires

Gestionnaires