Roles External Rôle « Firewall »
22 octobre 2025 à 16:34Ce rôle est chargé de configurer le pare-feu du système.
Utilise le rôle requis sol1.shorewall. Avec un patch pour les inclusions et les commandes.
Tags internes
- Nom : Description ;
Traitements spécifiques du jeu de tâches
La variable shorewall_run est définie à vrai.
Variables à fournir
Seuls les propriétés les plus pertinentes sont rappelés ici.
| Variable | Type | Requis | Défaut | Description |
|---|---|---|---|---|
shorewall_run |
Booléen | Non | Vrai | Activer Shorewall en v4 (Toujours) |
shorewall6_run |
Booléen | Non | Faux | Activer Shorewall en v6 |
shorewall_skip_restart |
Booléen | Non | Faux | Inhiber le redémarrage du service en v4 |
shorewall6_skip_restart |
Booléen | Non | Faux | Inhiber le redémarrage du service en v6 |
shorewall_conf |
Objet | Non | Vide | Personnalisation de la configuration en v4 |
shorewall6_conf |
Objet | Non | Vide | Personnalisation de la configuration en v6 |
shorewall_package_state |
État de paquet | Non | ‘present’ | État souhaité du paquet Shorewall en v4 |
shorewall6_package_state |
État de paquet | Non | ‘present’ | État souhaité du paquet Shorewall en v6 |
shorewall_startup |
Entier (0 ou 1) | Non | 1 | Démarrer le service Shorewall en v4 |
shorewall6_startup |
Entier (0 ou 1) | Non | 1 | Démarrer le service Shorewall en v6 |
shorewall_interfaces |
Liste d’objets interface |
Non | Première interface sur net | Définition des interfaces gérées en v4 |
shorewall6_interfaces |
Liste d’objets interface |
Non | Première interface sur net | Définition des interfaces gérées en v6 |
shorewall_policies |
Liste d’objets policy |
Non | Accepter sortant pas entrant | Stratégies de réception des paquets en v4 |
shorewall6_policies |
Liste d’objets policy |
Non | Accepter sortant pas entrant | Stratégies de réception des paquets en v6 |
shorewall_rules |
Liste d’objets section |
Non | Règles prédéfinies | Règles principales du pare-feu en v4 |
shorewall6_rules |
Liste d’objets section |
Non | Règles prédéfinies | Règles principales du pare-feu en v6 |
shorewall_zones |
Liste d’objets zone |
Non | Zones pare-feu et net | Définition des zones du réseau en v4 |
shorewall6_zones |
Liste d’objets zone |
Non | Zones pare-feu et net | Définition des zones du réseau en v6 |
shorewall_snat |
Liste d’objets snat |
Non | Absent | Définition des règles de traduction d’adresse source en v4 |
shorewall6_snat |
Liste d’objets snat |
Non | Absent | Définition des règles de traduction d’adresse source en v6 |
Type interface
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
zone |
Identifiant de zone | Oui | Zone associée à l’interface, doit être définie | |
interface |
Nom d’interface | Oui | Nom de l’interface gérée, avec prise en charge d’un groupe d’interface avec le suffix ‘+’ | |
options |
Options de traitement | Non | Absent | Options appliquées à l’interface, voir la documentation |
comment |
Chaîne | Non | Absent | Commentaire pour l’éditeur |
Type policy
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
source |
Identifiant de zone | Oui | Zone source, doit être définie | |
dest |
Identifiant de zone | Oui | Zone destination, doit être définie | |
policy |
Stratégie | Oui | Règle de traitement final du trafic | |
log_level |
Chaîne | Non | Absent | Niveau de journalisation |
comment |
Chaîne | Non | Absent | Commentaire pour l’éditeur |
Type section
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
section |
Choix | Oui | Nom de la section à laquelle s’applique les règles | |
rules |
Liste d’objets rule |
Non | Vide | Règles à appliquer |
Sections valides :
- ALL
- ESTABLISHED
- RELATED
- INVALID
- UNTRACKED
- NEW
Type rule
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
action |
Action/Chaîne | Oui | Action à effectuer en cas de correspondance | |
source |
Chaîne | Oui | Définition de la source | |
dest |
Chaîne | Oui | Définition de la destination | |
proto |
Protocol | Non | Absent | Protocol niveau 4 du paquet |
source_port |
Chaîne | Non | Absent | Définition du ou des ports source |
dest_port |
Chaîne | Non | Absent | Définition du ou des ports destination |
original_dest |
Chaîne | Non | Absent | Définition de la destination originelle en cas de DNAT |
when |
Booléen | Non | Vrai | Condition d’émission de la règle |
comment |
Chaîne | Non | Absent | Commentaire pour l’éditeur |
Type zone
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
zone |
Identifiant | Oui | Identifiant de la zone | |
type |
Choix | Oui | Type de la zone | |
options |
Options | Non | Absent | Options de la zone |
options_in |
Options | Non | Absent | Options de la zone |
options_out |
Options | Non | Absent | Options de la zone |
comment |
Chaîne | Non | Absent | Commentaire pour l’éditeur |
Types valides principaux :
- ip
- ipsec
- firewall
Type snat
| Propriété | Type | Requis | Défaut | Description |
|---|---|---|---|---|
action |
Action | Oui | Type de règle | |
action_param |
Chaîne | Peut-être | Absent | Paramètre de la règle |
source |
Chaîne | Oui | Définition de la source | |
dest |
Chaîne | Oui | Définition de la destination | |
proto |
Protocol | Non | Absent | Protocol niveau 4 du paquet |
port |
Chaîne | Non | Absent | Définition du ou des ports destination |
ipsec |
Chaîne | Non | Absent | Correspondance ipsec |
original_dest |
Chaîne | Non | Absent | Définition de la destination originelle en cas de DNAT |
comment |
Chaîne | Non | Absent | Commentaire pour l’éditeur |
Actions usuelles :
- CONTINUE
- MASQUERADE(ports/random)
- SNAT(adresse/ports/…)
Variables fixées
Dépendant du système cible.
| Variable | Type | Description |
|---|---|---|
shorewall_incompatible_packages |
Liste de paquets | Paquets incompatibles avec Shorewall |
shorewall_packages |
Liste de paquets | Paquets nécessaires en v4 |
shorewall6_packages |
Liste de paquets | Paquets nécessaires en v6 |
shorewall_service_name |
Nom de service | Nom du service en v4 |
shorewall6_service_name |
Nom de service | Nom du service en v6 |