Fedora 17 : le pare-feu dynamique firewalld

Fedora 17 permet de remplacer le pare-feu traditionnel statique (outils iptables et fichier /etc/sysconfig/iptables) par un pare-feu dynamique nommé firewalld possédant une interface d-bus. Il est ainsi possible de modifier les règles à la volée sans avoir à redémarrer le daemon.

Installation :

Firewalld n’est pas actif par défaut sous Fedora 17. A priori, cela est prévu pour Fedora 18, le temps pour les développeurs de finaliser les outils spécifiques et d’adapter ceux existants à ce nouveau pare-feu.

L’installation se fait simplement à l’aide de la commande :

yum install firewalld

Il convient alors de désactiver le lancement du pare-feu statique installé par défaut afin que celui-ci n’interfère pas avec firewalld :

systemctl stop iptables.service
systemctl disable iptables.service

Nous pouvons ensuite permettre le démarrage automatique de firewalld :

systemctl start firewalld.service
systemctl enable firewalld.service

La commande firewall-cmd :

La commande firewall-cmd permet de contrôler le pare-feu dynamiquement (liste des règles actives, ouverture/fermeture de port, …)
firewalld supporte le concept de « zone de réseau » permettant de gérer des profils de règles à appliquer en fonction du réseau sur lequel on se trouve ( par exemple tout fermer lorsque l’on est sur un réseau
public et ouvrir ssh et samba lorque l’on est sur un réseau professionnel).

Pour connaître la zone par défaut, il faut utiliser la commande :

  firewall-cmd  --get-default-zone

Par défaut, sous Fedora, la commande retournera public.
La zone a lancer par défaut est fixée dans le fichier /etc/firewalld/ firewalld.conf :

# default zone
# The default zone used if an empty zone string is used.
# Default: public
DefaultZone=public

Pour connaître la zone en cours d’exécution, nous pouvons utiliser la commande :

firewall-cmd  --get-active-zones

La réponse fournie ici est « public: em1 » ce qui signifie que le profil public est en cours d’execution sur l’interface réseau em1.

Pour obtenir la liste des services autorisés pour le profil public, il suffit de taper :

firewall-cmd  --zone=public --list-service

Pour obtenir la liste des ports ouvert pourle profil public, il suffit de taper :

firewall-cmd  --zone=public --list=port

L’ensemble des profils définis s’obtient avec la commande :

firewall-cmd --get-zones

Par défaut, sous Fedora les profils drop work internal external trusted home dmz public block sont présents.

Le liste des services pré-définis se trouve sous le répertoire /usr/lib/firewalld/services :

Ce sont de simples fichiers xml. Il nous est donc possible de créer un fichier de services par exemple pour une application fonctionnant sur le port 9000 en créant le fichier /etc/firewalld/services/monappli.xml :

<?xml version="1.0" encoding="utf-8"?>
<service name="monappli">
  <short>MonAppli (9000)</short>
  <description>Mon serveur d'applications.</description>
  <port protocol="tcp" port="9000"/>
</service>

Pour que firewalld prenne connaissance de ce nouveau service, il est nécessaire de le redémarrer :

systemctl restart firewalld.service

Pour activer le service monappli dans le profil home, il suffit ensuite de faire :

firewall-cmd --zone=home --add --service=monappli

Pour connaître l’ensemble des services actifs sous le profil home :

 firewall-cmd  --zone=home --list=service

Pour retirer un service d’un profil (par exemple ipp-client du profil home), il faut taper :

firewall-cmd --zone=home --remove  --service=ipp-client

Plutôt que de passer par des services prédéfinis, nous pouvons également ouvrir des ports directement :

 firewall-cmd  --zone=home --add --port=9000/tcp

Pour activer le profil home, il suffit de faire :

firewall-cmd --set-default-zone=home

Attention, ceci est un changement permanent (cela modifie le fichier /etc/firewalld/firewalld.conf). Lors du prochain redémarrage de firewalld, le profil chargé par défaut sera home

Cependant, les services/ports activés ou désactivés à l’aide de la commande firewall-cmd seront perdus. En effet, cette commande n’impacte que la session courante du service firewalld.
Si nous voulons effectuer des modifications permanentes, il faut modifier les fichiers de configurations des zones.

Par exemple pour rajouter de manière permanent le service monappli au profil de zone home, il faut tout d’abord copier le fichier par défaut de cette zone dans le répertoire /etc/firewalld/zones :

cp /usr/lib/firewalld/zones/home.xml /etc/firewalld/zones/

Puis modifier le fichier /etc/firewalld/zones/home.xml :

<?xml version="1.0" encoding="utf-8"?>
<zone name="home">
  <short>Home</short>
  <description>For use in home areas. You mostly trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="ipp-client"/>
  <service name="mdns"/>
  <service name="samba-client"/>
  <service name="dhcpv6-client"/>
  <service name="monappli"/>
</zone>

Comme nous l’avons vu, le nouveau pare-feu firewalld permet de changer les règles à la volée mais nous sommes dans l’obligation de modifier les fichiers de configuration à la main dés que nous voulons que les changements opérés soient permanents. Cependant, le concept de zone peut être utile pour les ordinateurs mobiles. firewalld permet également, via l’option –timeout, d’ouvrir un port/service pour une durée determinée.

Par exemple, pour autoriser le service monappli sur le profil home (en cours d’execution) pendant 10s il faut faire:

firewall-cmd  --zone=home --add --service=monappli --timeout=10

Ainsi s’achève ce tour d’horizon de firewalld …

Installer Gimp 2.7 sur Fedora 16

Pour installer la version 2.7 de Gimp sous Fedora 16, il suffit simplement de configurer le dépôt maintenu par Nils Philippsen.

Créons un fichier /etc/yum.repos.d/gimp27.repo et ajoutons y :

[fedora-gimp-unstable]
name=GIMP Unstable for Fedora
baseurl=http://repos.fedorapeople.org/repos/nphilipp/gimp-unstable/fedora-$releasever/$basearch/
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-nphilipp
gpgcheck=1

Téléchargeons ensuite la clé relative au dépôt :

cd /etc/pki/rpm-gpg
wget http://repos.fedorapeople.org/repos/nphilipp/gimp-unstable/RPM-GPG-KEY-nphilipp

L’installation de gimp se fait ensuite de façon classique :

yum update && yum install gimp

Installer le pilote propriétaire Nvidia sur Fedora 16

Si vous désirez installer le pilote propriétaire Nvidia en lieu et place du pilote Nouveau sur Fedora 16, il se peut que vous rencontriez des problèmes en passant par les pilotes fournis par rpmfusion (ecran noir après l’installation par exemple).

Dans cet article, nous allons voir comment installer le pilote propriétaire (la version beta 290.06, la version stable posant à priori quelques problèmes de performances).

Tout d’abord, si vous vous retrouvez face à l’écran noir, rebootez en choisissant le noyau recovery mode.

Voici quelques commandes qui vous seront utiles si vous désirez prendre la main en ssh sur la machine depuis un poste distant :

systemctl start NetworkManager.service
systemctl stop iptables.service
systemctl start sshd.service

Il nous faut ensuite désactiver le pilote nouveau :

Il suffit d’ajouter les lignes suivantes au fichier /etc/modprobe.d/blacklist.conf :

blacklist nouveau
options nouveau modeset=0

Il nous faut maintenant éditer le fichier /etc/default/grub et ajouter à la ligne GRUB_CMDLINE_LINUX les options rdblacklist=nouveau nouveau.modeset=0 :

Il nous faut regénérer le fichier de configuration de Grub 2 avec la commande :

grub2-mkconfig -o  /boot/grub2/grub.cfg

Nous devons ensuite désactiver SELINUX en modifiant dans le fichier /etc/selinux/config la ligne :

SELINUX=disabled

Verifiez que vous possédez bien les outils nécessaires pour l’installation du pilote nvidia (binutils, gcc, …).
Sinon profitez en pour les installer. Par exemple :

yum install binutils 

Il nous faut à présent rebooter la machine. Si vous bootez à nouveau en mode recovery, pensez à passer en runlevel 3 à l’aide de la commande :

telinit 3 

Nous pouvons ensuite vérifier que le pilote nouveau n’est pas chargé à l’aide de la commande :

lsmod | grep nouveau

qui ne doit rien retourner…

Il nous faut ensuite télécharger le pilote 32 bits ou 64 bits.

Il nous faut rendre ce fichier exécutable et à l’exécuter :

chmod +x NVIDIA-Linux-x86_64-290.06.run
./NVIDIA-Linux-x86_64-290.06.run

ou

chmod +x NVIDIA-Linux-x86-290.06.run
./NVIDIA-Linux-x86-290.06.run

en fonction du pilote choisi.

Il reste ensuite à suivre les instructions du programme d’installation :

Répondre Yes pour installer les bibliothéques 32 bits de compatibilité OpenGL.

Répondre Yes pour que le programme d’installation modifie la configuration du serveur X.

Il nous reste ensuite à rebooter la machine.