AccueilActualités informatiqueSécurité dans les conteneurs : le démon pare-feu firewalld 1.1 se lie...

Sécurité dans les conteneurs : le démon pare-feu firewalld 1.1 se lie avec Docker

La nouvelle version 1.1 de firewalld offre un support pour un certain nombre de nouveaux services permettant de personnaliser facilement le comportement général du pare-feu, ainsi qu’un certain nombre d’améliorations internes. Pour faciliter l’installation, firewalld 1.1 fonctionne désormais aussi dans des conteneurs OCI, comme ceux utilisés par Docker. Il doit pour cela être démarré avec « host-networking » pour permettre au conteneur d’accéder pleinement aux services correspondants de l’hôte : nftables, dbus, NetworkMangager et ainsi de suite.

Les définitions des services HTTPS ont d’abord été étendues à la prise en charge de HTTP/3 (443/udp). On a objecté que de nombreux serveurs fonctionnaient encore avec HTTP/1.1 et que les ports UDP supplémentaires ouverts par ce patch y représentaient un risque de sécurité. HTTP/3 a donc été déclaré comme un tout nouveau service.

Une autre nouveauté est le support de WS-Discovery et WP-Discovery côté client pour l’ouverture des ports pour la découverte dynamique des services web. firewalld supporte directement le système multimédia libre Jellyfin – une alternative à Plex – à partir de la version 1.1 et peut ouvrir ses ports pour HTTP/HTTPS et la découverte automatique. Le protocole Apple Filing Protocol (AFP) sur les ports TCP 548, qui fait partie des Apple File Services, est également pris en charge. Enfin, ZeroTier a fait son entrée dans firewalld 1.1 : ZeroTier sert à la mise en réseau simple et sûre entre les appareils sur site, dans le nuage, de bureau et mobiles.

firewalld, qui a maintenant plus de 11 ans, est un outil de gestion open source permettant de gérer les pare-feu sous GNU/Linux. Il sert de front-end pour le framework netfilter des noyaux Linux. Actuellement, nftables est utilisé comme backend (utilitaires de l’espace utilisateur), jusqu’à la version 0.6 c’était iptables. firewalld est composé d’une série de scripts Python et devait être porté en C – le projet a cependant abandonné cette idée en 2015.

firewalld supporte IPv4 et IPv6 et peut gérer des zones de pare-feu séparées avec différents niveaux de confiance définis dans des profils de zone. Le NetworkManager permet d’activer automatiquement les profils de zone appropriés lors de la connexion à des réseaux WiFi ou Ethernet connus via firewalld. Des applications telles que firewall-config ou firewall-applet mettent à disposition des administrateurs orientés souris des frontaux graphiques.

Plus de détails et surtout le code actuel de firewalld 1.1 sont disponibles sur la page GitHub du projet. Le prédécesseur 1.0 est sorti mi-2021 après une longue période de développement.

  • Docker : téléchargement rapide et sûr de heise.de

Plus d'articles