CentOS 7 : désactiver firewalld et réactiver iptables

"tools"En plus de systemd, RHEL 7 et CentOS 7 disposent d'une nouvelle interface de pare-feu : firewalld. Bien qu'il fasse plutôt bien le boulot, je me suis trouvé dans des cas où j'avais du mal à lui faire faire ce que je voulais. En fait dès l'instant où j'ai commencé à jouer avec des interfaces tun, des zones et de la retransmission de paquets, j'ai commencé à avoir des difficultés. En attendant de les résoudre, j'ai noté que je pouvais revenir au fonctionnement précédent, et piloter iptables directement.

Désactivation de firewalld

Commençons par arrêter firewalld, et s'assurer qu'il est bien coupé :

[root@test ~]# systemctl stop firewalld.service
[root@test ~]# systemctl status firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
   Loaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:firewalld(1)

Jun 27 10:27:00 test.anotherhomepage.org systemd[1]: Starting firewalld - dynamic firewall daemon...
Jun 27 10:27:00 test.anotherhomepage.org systemd[1]: Started firewalld - dynamic firewall daemon.
Jun 27 10:27:25 test.anotherhomepage.org systemd[1]: Stopping firewalld - dynamic firewall daemon...
Jun 27 10:27:25 test.anotherhomepage.org systemd[1]: Stopped firewalld - dynamic firewall daemon.

Bien sûr, cela veut dire qu'à partir de maintenant, la machine n'est plus protégée par le pare-feu.

Ensuite, on désactive son démarrage automatique :

[root@test ~]# systemctl disable firewalld.service

Si vraiment on ne souhaite plus pouvoir démarrer firewalld par accident, on peut le masquer :

[root@test ~]# systemctl mask firewalld.service
Created symlink from /etc/systemd/system/firewalld.service to /dev/null.

Maintenant c'est pas tout, mais faut remettre un pare-feu.

Activation d'iptables

Pour activer iptables, c'est très simple, commençons par installer le paquet "iptables-services" :

[root@test ~]# yum -y install iptables-services
Loaded plugins: fastestmirror
Loading mirror speeds from cached hostfile
 * base: mirror.imt-systems.com
 * extras: mirror.netcologne.de
 * updates: mirror.ratiokontakt.de
Resolving Dependencies
--> Running transaction check
---> Package iptables-services.x86_64 0:1.4.21-17.el7 will be installed
--> Finished Dependency Resolution

Dependencies Resolved

=============================================================================================================================================================================================================================================
 Package                                                         Arch                                                 Version                                                       Repository                                          Size
=============================================================================================================================================================================================================================================
Installing:
 iptables-services                                               x86_64                                               1.4.21-17.el7                                                 base                                                50 k

Transaction Summary
=============================================================================================================================================================================================================================================
Install  1 Package

Total download size: 50 k
Installed size: 24 k
Downloading packages:
iptables-services-1.4.21-17.el7.x86_64.rpm                                                                                                                                                                            |  50 kB  00:00:00
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
  Installing : iptables-services-1.4.21-17.el7.x86_64                                                                                                                                                                                    1/1
  Verifying  : iptables-services-1.4.21-17.el7.x86_64                                                                                                                                                                                    1/1

Installed:
  iptables-services.x86_64 0:1.4.21-17.el7

Complete!

Ensuite, on l'active dans systemd :

[root@test ~]# systemctl enable iptables
Created symlink from /etc/systemd/system/basic.target.wants/iptables.service to /usr/lib/systemd/system/iptables.service.

On peut alors le lancer :

[root@test ~]# systemctl start iptables

Comme pour RHEL 6 et CentOS 6, la configuration se trouve dans le fichier /etc/sysconfig/iptables, et dispose d'un jeu de règles n'ouvrant la voie qu'au ping et à SSH. La machine est, à partir de cet instant, de nouveau protégée par un pare-feu.

Vous avez aimé cet article ? Alors partagez-le sur les réseaux sociaux ! Si en plus vous avez des remarques, ou des propositions d'améliorations, n'hésitez pas : les commentaires sont là pour ça !

Crédit photo : velacreations - tools.