documentation.suse.com / Présentation de firewalld
SUSE Linux Micro 6.2

Présentation de firewalld

Date de publication : 03 nov 2025
CONTENU

Découvrez firewalld, un outil important pour la sécurisation des serveurs et services Linux. Il s'agit du mécanisme de défense réseau par défaut et principal sur de nombreuses distributions modernes. La gestion intuitive basée sur les zones et les fonctionnalités de configuration dynamique permettent un contrôle précis du trafic réseau sans interruption de service.

MOTIF

firewalld est essentiel, car il fournit un moyen moderne, dynamique et convivial de gérer la sécurité réseau sur les systèmes Linux en simplifiant les règles de pare-feu complexes en zones et services intuitifs.

EFFORT

La lecture de cet article vous prendra au maximum 30 minutes.

OBJECTIF

Gérer et améliorer efficacement la sécurité d'un système Linux.

CONDITIONS REQUISES

  • Privilèges sudo ou root, car les commandes firewalld, en particulier celles qui apportent des modifications permanentes aux règles de pare-feu, nécessitent des privilèges élevés.

  • firewalld est le pare-feu par défaut sur de nombreuses distributions Linux modernes ; s'il n'est pas préinstallé sur votre système, vous devez installer le paquet firewalld.

  • Une compréhension de base du terminal Linux est essentielle.

1 À propos de firewalld

 

firewalld est un service de gestion de pare-feu dynamique qui offre un moyen flexible et efficace de contrôler le trafic réseau sur les systèmes Linux. Il permet d'apporter des modifications sans interrompre les connexions existantes. Les avantages de l'utilisation de firewalld sont les suivants :

  • Configuration dynamique : appliquez les modifications instantanément sans rompre les connexions existantes.

  • Interface conviviale : les zones et les services simplifient les règles de pare-feu complexes.

  • Abstraction : il n'est pas nécessaire de manipuler directement les règles nftables pour les scénarios courants.

  • Configuration persistante : gestion facile des règles qui survivent aux redémarrages.

  • Configuration persistante : par défaut firewalld fonctionne sur un principe deny-all en bloquant tout le trafic entrant, sauf si explicitement autorisé.

1.1 Zones firewalld

 

Une zone de pare-feu est un ensemble prédéfini de règles qui dictent la façon dont le trafic réseau entrant et sortant est géré pour une interface réseau ou une adresse IP source spécifique. Chaque zone représente un niveau de confiance différent pour le réseau auquel elle est associée. Vous pouvez appliquer différentes stratégies de sécurité en fonction de l'origine de la connexion réseau.

Les zones sont comme des profils de sécurité. Par exemple, vous pouvez souhaiter appliquer des règles de pare-feu différentes pour une connexion Wi-Fi publique et votre réseau domestique sécurisé. Les zones firewalld vous permettent de définir ces ensembles distincts de règles et de les appliquer en conséquence. Une connexion réseau n'est soumise aux règles que d'une seule zone firewalld. Une zone firewalld peut comporter de nombreuses interfaces réseau ou adresses IP sources.

Le répertoire /usr/lib/firewalld/zones/ stocke les zones prédéfinies. Par exemple :

> /usr/lib/firewalld/zones ls
block.xml  dmz.xml  docker.xml  drop.xml  external.xml  home.xml  internal.xml  nm-shared.xml  public.xml  trusted.xml  work.xml

Certains des paramètres par défaut des zones prédéfinies sont les suivants :

drop

  • Niveau d'approbation : aucune fiabilité.

  • Comportement : tous les paquets réseau entrants sont abandonnés sans aucune réponse. Seules les connexions sortantes initiées à partir du système sont autorisées. Cela fournit un mode « furtif » dans lequel le système apparaît comme inexistant pour les pirates informatiques externes.

  • Cas d'utilisation : utilisé pour une furtivité et une sécurité maximales, en ignorant complètement le trafic indésirable. Convient comme valeur par défaut stricte pour un serveur qui ne devrait jamais accepter de connexions entrantes.

block

  • Niveau d'approbation : très faible.

  • Comportement : toutes les connexions réseau entrantes sont rejetées avec un message icmp-host-prohibited pour IPv4 et icmp6-adm-prohibited pour IPv6. Celui-ci informe l'expéditeur que sa connexion a été explicitement rejetée. Seules les connexions sortantes initiées à partir du système sont possibles.

  • Cas d'utilisation : appliqué lorsque vous souhaitez signaler explicitement aux expéditeurs que leurs tentatives de connexion sont bloquées.

public

  • Niveau d'approbation : non fiable ou public.

  • Comportement : représente les réseaux publics non approuvés sur lesquels vous ne faites pas confiance aux autres systèmes. Seules les connexions entrantes sélectionnées sont acceptées par défaut, par exemple, SSH, client DHCPv6, etc.

  • Cas d'utilisation : zone par défaut commune pour les interfaces connectées directement à Internet, telles que l'interface WAN de votre routeur. Également pour les connexions à un réseau sur lequel vous n'avez aucun contrôle sur les autres périphériques.

external

  • Niveau d'approbation : externe avec masquage d'adresse IP.

  • Comportement : destiné aux réseaux externes lorsque le pare-feu fait office de passerelle ou de routeur. En général, le masquage NAT est activé par défaut. Seules les connexions entrantes sélectionnées sont acceptées, en supposant que vous ne faites pas confiance aux autres systèmes de ce réseau.

  • Cas d'utilisation : utilisé lorsque votre machine Linux fait office de routeur, en connectant un réseau privé interne à l'Internet public. L'interface externe est placée dans cette zone pour masquer la topologie du réseau interne, tout en permettant aux clients internes d'accéder à des ressources externes telles qu'Internet.

dmz (Demilitarized Zone)

  • Niveau d'approbation : accès public limité.

  • Comportement : pour les systèmes situés dans une zone démilitarisée (DMZ) qui sont accessibles au public, mais avec un accès limité au réseau interne. Seules les connexions entrantes sélectionnées sont acceptées. Les paramètres par défaut incluent généralement SSH et d'autres services que vous exposez.

  • Cas d'utilisation : convient aux serveurs exposés au public tels que les serveurs Web, de messagerie et DNS. Ces serveurs sont intentionnellement exposés à Internet, mais sont isolés de vos réseaux internes plus fiables. Utile lorsque vous souhaitez héberger des services qui doivent être accessibles sur Internet tout en limitant les risques pour votre infrastructure interne principale.

work

  • Niveau d'approbation : globalement de confiance (environnement de travail).

  • Comportement : dans un environnement de travail, vous faites généralement confiance aux autres ordinateurs du réseau. Autorise les connexions entrantes sélectionnées qui sont courantes dans un environnement de travail, telles que les clients SSH et DHCPv6.

  • Cas d'utilisation : convient aux réseaux et systèmes de bureau sur un réseau local (LAN) d'entreprise.

home

  • Niveau d'approbation : globalement de confiance (environnement privé).

  • Comportement : dans un environnement privé, vous faites généralement confiance aux autres systèmes sur le réseau. Autorise plus de services que les zones publiques ou externes, y compris souvent les services de réseau privé courants tels que le partage de fichiers, les serveurs multimédias et les imprimantes, ainsi que les clients SSH et DHCPv6.

  • Cas d'utilisation : idéal pour les réseaux privés et les petites configurations de bureau à domicile.

trusted

  • Niveau d'approbation : maximal.

  • Comportement : toutes les connexions réseau sont acceptées sans aucun filtrage. Le pare-feu n'est pas implémenté pour les connexions affectées à cette zone.

  • Cas d'utilisation : réservé aux connexions de haute confiance.

1.2 Stratégies et règles firewalld

 

Les stratégies firewalld fournissent un moyen plus avancé et plus flexible de gérer le trafic réseau par rapport aux zones traditionnelles. Elles vous permettent de définir des règles riches qui spécifient la source et la destination du trafic, les services, les ports et les actions telles que l'acceptation, le rejet et l'abandon. Ces stratégies sont utiles pour configurer un routage complexe, un réacheminement de port ou la création de segments de réseau isolés au sein d'un seul hôte.

Les stratégies firewalld fournissent des zones pour définir des ensembles de règles. Elles appliquent des règles en tenant compte de l'état et dans une seule direction, ce qui signifie que vous définissez le flux de trafic dans une seule direction, et firewalld autorise implicitement le chemin de retour. Ces stratégies lient une zone d'entrée (où le trafic entre) à une zone de sortie (où le trafic sort). Cela définit le chemin d'accès et la direction spécifiques auxquels les règles d'une stratégie s'appliquent. Vous pouvez afficher les stratégies, par exemple : 

> /usr/lib/firewalld/policies ls
allow-host-ipv6.xml

Les règles de pare-feu vous permettent de contrôler avec précision le trafic réseau, en l'autorisant ou en le bloquant pour protéger votre système contre les menaces de sécurité. Les règles de pare-feu définissent certains critères en fonction de divers attributs tels que les adresses IP sources et cibles, les ports et les interfaces réseau. firewalld sépare les règles de pare-feu en zones et en stratégies. Chaque zone dans firewalld dispose d'un ensemble unique de règles qui dicte les autorisations de trafic pour ses interfaces réseau associées.

1.3 Services et ports

 

Les services sont recommandés lorsqu'un service prédéfini est disponible. Par exemple, au lieu de vous rappeler que HTTP utilise le port TCP 80, vous pouvez simplement ajouter le service http. Cette approche est moins sujette aux erreurs et plus facile à gérer. Utilisez les ports lorsqu'un service n'est pas prédéfini ou lorsque vous utilisez un port personnalisé pour un service. Vous pouvez afficher les services et les ports actifs pour les zones par défaut à l'aide des commandes suivantes : 

> sudo firewall-cmd --list-services
> sudo firewall-cmd --list-ports

2 Gestion des règles et des zones de pare-feu

 

Vous pouvez configurer les zones firewalld et leurs règles avec l'interface Web graphique Cockpit ou l'utilitaire firewall-cmd pour le contrôle de ligne de commande.

2.1 Gestion des règles et des zones de pare-feu à l'aide de l'utilitaire firewalld-cmd

 

Vous pouvez utiliser l'interface de ligne de commande (CLI) pour gérer les zones firewalld.

2.1.1 Ajout de zones firewalld

 

Pour ajouter une nouvelle zone firewalld :

  1. Créez une zone, par exemple : 

    > sudo firewall-cmd --permanent --new-zone=test

  2. Définissez le niveau de confiance de la zone qui définit le comportement par défaut : 

    > sudo firewall-cmd --permanent --zone=example --set-target=trusted

  3. Rechargez le service firewalld pour appliquer la nouvelle configuration : 

    > sudo firewall-cmd --reload

2.1.2 Ajout d'un service à une zone

 

Pour ajouter un service à une zone :

  1. Listez tous les services pour vérifier si votre service est déjà prédéfini : 

    > sudo firewall-cmd --get-services
      0-AD RH-Satellite-6 RH-Satellite-6-capsule afp alvr amanda-client amanda-k5-client amqp amqps anno-1602
      anno-1800 apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent civilization-iv civilization-v cockpit collectd condor-collector cratedb ctdb dds dds-multicast dds-unicast dhcp dhcpv6 dhcpv6-client distcc dns dns-over-quic dns-over-tls docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server factorio finger foreman foreman-proxy freeipa-4 freeipa-ldap freeipa-ldaps freeipa-replication freeipa-trust ftp galera
      ganglia-client ganglia-master git gpsd grafana gre http http3 https ident imap imaps ipfs ipp ipp-client ipsec irc ircs
      [...]

  2. Vous pouvez ajouter un service soit temporairement pour la session d'exécution, soit de manière permanente, par exemple : 

    > sudo  firewall-cmd --zone=public --add-service=http
    > sudo  firewall-cmd --zone=public --permanent --add-service=http

    L'indicateur --permanent garantit que la modification persiste après tous les redémarrages.

  3. Rechargez le service firewalld pour appliquer la nouvelle configuration : 

    > sudo firewall-cmd --reload

  4. Vérifiez les résultats : 

    > sudo firewall-cmd --zone=public --list-services

2.1.3 Ajout d'un port à une zone

 

Si votre application ne dispose pas d'un service prédéfini, vous pouvez ouvrir un port spécifique ou une plage de ports.

  1. Vous pouvez ajouter un port soit temporairement pour la session d'exécution, soit de manière permanente, par exemple : 

    > sudo  firewall-cmd --zone=public --add-port=8080/tcp
    > sudo  firewall-cmd --zone=public --permanent --add-port=8080/tcp

    L'indicateur --permanent garantit que la modification persiste après tous les redémarrages.

  2. Rechargez le service firewalld pour appliquer la nouvelle configuration : 

    > sudo firewall-cmd --reload

  3. Vérifiez les résultats : 

    > sudo firewall-cmd --zone=public --list-ports

2.1.4 Suppression de zones firewalld

 

Pour supprimer une zone :

  1. Vérifiez que la zone n'est pas celle par défaut ou en cours d'utilisation : 

    > sudo  firewall-cmd --get-default-zone

    Si la zone est en cours d'utilisation ou celle par défaut, définissez-en une autre, par exemple : 

    > sudo  firewall-cmd --set-default-zone=NEW_DEFAULT_ZONE

  2. Vérifiez si des interfaces réseau sont liées à la zone : 

    > sudo firewall-cmd --zone=ZONE_TO_BE_DELETED --list-all

  3. Le champ interfaces dans la sortie répertorie toutes les interfaces. Ces interfaces doivent être réaffectées à une autre zone. Par exemple :

    > sudo firewall-cmd --zone=public --permanent --change-interface=ITERFACE_NAME

  4. Supprimez la zone :

    > sudo firewall-cmd --permanent --delete-zone=ZONE_TO_BE_DELETED

  5. Rechargez le service firewalld pour appliquer la nouvelle configuration : 

    > sudo firewall-cmd --reload

2.2 Gestion des règles et des zones de pare-feu à l'aide de Cockpit

 

Cockpit vous permet de créer des zones ou de mettre à jour les zones existantes. Dans les paramètres du pare-feu, vous pouvez ajouter des services à une zone ou autoriser l'accès à des ports.

Note
Note : le service Cockpit est obligatoire

Ne supprimez pas le service Cockpit de la zone de pare-feu par défaut, car il risque d'être bloqué, ce qui pourrait vous déconnecter du serveur.

2.2.1 Ajout de zones de pare-feu

 

La zone publique est la zone de pare-feu par défaut. Pour ajouter une nouvelle zone, procédez comme suit :

Procédure 1 : Ajout de nouvelles zones de pare-feu
 

  1. Accédez à la page Réseautique.

  2. Cliquez sur Modifier les règles et les zones.

  3. Cliquez sur Ajouter une zone.

  4. Sélectionnez le Niveau de confiance. Chaque niveau de confiance des connexions réseau a un ensemble prédéfini de services inclus (le service Cockpit est inclus dans tous les niveaux de confiance).

  5. Définissez les adresses autorisées dans la zone. Sélectionnez l'une des valeurs suivantes :

    • Ensemble du sous-réseau pour autoriser toutes les adresses du sous-réseau.

    • Gamme : pour une liste d'adresses IP séparées par des virgules, avec le préfixe de routage, par exemple, 192.0.2.0/24, 2001:db8::/32.

  6. Continuez avec Ajouter une zone.

2.2.2 Ajout de services et de ports autorisés à une zone

 

Vous pouvez ajouter des services à une zone de pare-feu existante comme décrit ci-dessous :

Procédure 2 : Ajout de services à une zone de pare-feu
 

  1. Accédez à la page Réseautique.

  2. Cliquez sur Modifier les règles et les zones.

  3. Cliquez sur Ajouter des services.

  4. Pour ajouter un service, cochez Services et sélectionnez les services dans la liste.

  5. Pour autoriser les ports personnalisés, cochez la case Ports personnalisés et spécifiez la valeur du port pour UDP et/ou TCP. Vous pouvez assigner un identificateur à ce port.

  6. Pour confirmer les modifications, cliquez sur Ajouter des services ou Ajouter des ports, respectivement.

3 Commandes firewalld courantes

 

L'outil de ligne de commande firewall-cmd permet de configurer et de gérer le daemon firewalld. Il s'agit d'un utilitaire dynamique puissant qui permet de créer, de modifier et de supprimer des règles de pare-feu sans nécessiter un redémarrage complet du service, ce qui évite l'interruption des connexions réseau actives.

Voici quelques exemples courants de commandes firewall-cmd :

  • Vérifier si firewalld est en cours d'exécution. Les résultats sont les suivants : running, not running ou RUNNING_BUT_FAILED. Par exemple : 

    > sudo firewall-cmd --state
running

  • Lister toutes les zones disponibles, par exemple : 

    > sudo firewall-cmd --get-zones
 block dmz docker drop external home internal nm-shared public trusted work

  • Afficher la zone par défaut, par exemple : 

    > sudo firewall-cmd --get-default-zone
public

  • Afficher les zones actives et les zones assignées, par exemple : 

    > sudo firewall-cmd --get-active-zones
docker
interfaces: docker0
public (default)
interfaces: lo enp1s0

  • Afficher toutes les règles de la zone par défaut, par exemple : 

    > sudo firewall-cmd --list-all
public (default, active)
target: default
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces: enp1s0 lo
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.1.100" service name="ssh" accept

  • Afficher toutes les règles d'une zone spécifique, par exemple : 

    > sudo firewall-cmd --zone=public --list-all
public (default, active)
target: default
ingress-priority: 0
egress-priority: 0
icmp-block-inversion: no
interfaces: enp1s0 lo
sources:
services: cockpit dhcpv6-client ssh
ports:
protocols:
forward: yes
masquerade: no
forward-ports:
source-ports:
icmp-blocks:
rich rules:
rule family="ipv4" source address="192.168.1.100" service name="ssh" accept

  • Répertorier tous les services prédéfinis disponibles, par exemple : 

    > sudo firewall-cmd --get-services
  0-AD RH-Satellite-6 RH-Satellite-6-capsule afp alvr amanda-client amanda-k5-client amqp amqps anno-1602 anno-1800
  apcupsd audit ausweisapp2 bacula bacula-client bareos-director bareos-filedaemon bareos-storage bb bgp bitcoin bitcoin-rpc
  bitcoin-testnet bitcoin-testnet-rpc bittorrent-lsd ceph ceph-exporter ceph-mon cfengine checkmk-agent civilization-iv civilization-v
  cockpit collectd condor-collector cratedb ctdb dds dds-multicast dds-unicast dhcp dhcpv6 dhcpv6-client distcc dns dns-over-quic dns-over-tls
  docker-registry docker-swarm dropbox-lansync elasticsearch etcd-client etcd-server factorio finger foreman foreman-proxy freeipa-4 freeipa-ldap
  freeipa-ldaps freeipa-replication freeipa-trust ftp galera ganglia-client ganglia-master git gpsd grafana gre http http3 https ident imap imaps
  ipfs ipp ipp-client ipsec irc ircs iscsi-target isns jenkins kadmin kdeconnect kerberos kibana klogin kpasswd kprop kshell kube-api kube-apiserver
  kube-control-plane kube-control-plane-secure kube-controller-manager kube-controller-manager-secure kube-nodeport-services kube-scheduler kube-scheduler-secure
  [...]

  • Lister les services actuellement autorisés dans la zone par défaut, par exemple : 

    > sudo firewall-cmd --list-services
cockpit dhcpv6-client ssh

  • Ajouter de façon permanente un service à la zone par défaut, par exemple : 

    > sudo firewall-cmd --permanent --add-service=http
success

  • Supprimer définitivement un service, par exemple : 

    > sudo firewall-cmd --permanent --remove-service=http
success

  • Lister les ports actuellement ouverts dans la zone par défaut, par exemple : 

    > sudo firewall-cmd --list-ports
22/tcp

  • Ouvrir temporairement un port TCP spécifique, par exemple : 

    > sudo firewall-cmd --add-port=8080/tcp
success

  • Supprimer définitivement un port ouvert, par exemple : 

    > sudo firewall-cmd --permanent --remove-port=8080/tcp
success

  • Ajouter temporairement une interface à une zone spécifique, par exemple : 

    > sudo firewall-cmd --zone=trusted --add-interface=eth1 
success

4 Dépannage de firewalld

 

Le dépannage de firewalld implique de vérifier son statut et les règles, et de redémarrer ou de recharger le service. Si vous rencontrez des problèmes, vous pouvez activer le débogage, examiner les journaux et ajuster les règles de pare-feu si nécessaire.

4.1 Vérification du statut de firewalld

 

  • Utilisez la commande systemctl status. Par exemple :

    > sudo systemctl status  firewalld.service
● firewalld.service - firewalld - dynamic firewall daemon
Loaded: loaded (/usr/lib/systemd/system/firewalld.service; enabled; preset: enabled)
Active: active (running) since Thu 2025-07-17 09:47:36 CEST; 5min ago
Invocation: a7ea482f16d2431fa92d6204c297ebd9
Docs: man:firewalld(1)
Main PID: 921 (firewalld)
Tasks: 2
CPU: 262ms
CGroup: /system.slice/firewalld.service
        └─921 /usr/bin/python3.13 /usr/sbin/firewalld --nofork --nopid

  • La commande firewall-cmd --state permet une vérification rapide du statut avec les sorties running, not running ou RUNNING_BUT_FAILED. Par exemple :

    > sudo firewall-cmd --state
running

  • Si firewalld n'est pas en cours d'exécution, utilisez la commande systemctl start firewalld.

    > sudo  systemctl start firewalld

  • Si le service firewalld est masqué, démasquez-le d'abord, puis activez-le et démarrez-le. Par exemple :

    > sudo systemctl unmask --now firewalld
    > sudo systemctl enable firewalld
    > sudo systemctl start firewalld

4.2 Vérification des règles firewalld

 

  • La commande firewall-cmd --list-all-zones affiche toutes les zones et leurs règles. Par exemple :

    > sudo firewall-cmd --list-all-zones
        block
          target: %%REJECT%%
          ingress-priority: 0
          egress-priority: 0
          icmp-block-inversion: no
          interfaces:
          sources:
          services:
          ports:
          protocols:
          forward: yes
          masquerade: no
          forward-ports:
          source-ports:
          icmp-blocks:
          rich rules:

        dmz
          target: default
          ingress-priority: 0
          egress-priority: 0
          icmp-block-inversion: no
          interfaces:
          sources:
          services: ssh
          ports:
          protocols:
          forward: yes
          masquerade: no
          forward-ports:
          source-ports:
          icmp-blocks:
          rich rules:

        docker (active)
          target: ACCEPT
          ingress-priority: 0
          egress-priority: 0
          icmp-block-inversion: no
          [...]

  • La commande firewall-cmd --list-ports affiche les ports ouverts. Par exemple :

    > sudo firewall-cmd --list-ports
22/tcp

  • La commande firewall-cmd --zone=YOUR_ZONE --list-all. liste les ports de zones spécifiques. Par exemple :

    > sudo firewall-cmd --zone=dmz --list-all
                dmz
                  target: default
                  ingress-priority: 0
                  egress-priority: 0
                  icmp-block-inversion: no
                  interfaces:
                  sources:
                  services: ssh
                  ports:
                  protocols:
                  forward: yes
                  masquerade: no
                  forward-ports:
                  source-ports:
                  icmp-blocks:
                  rich rules:

4.3 Débogage de firewalld

 

  • Activez le débogage dans /etc/sysconfig/firewalld en ajoutant --debug=[level] à FIREWALLD_ARGS. Par exemple :

    > sudo  vi /etc/sysconfig/firewalld
# firewalld command line args
# possible values: --debug
FIREWALLD_ARGS=--debug=[level]

  • Démarrez firewalld avec l'option --debug. Par exemple :

    > sudo firewalld --nofork --debug
2025-07-23 11:10:05 DEBUG1: start()
2025-07-23 11:10:05 DEBUG1: Loading firewalld config file '/etc/firewalld/firewalld.conf'
2025-07-23 11:10:05 DEBUG1: CleanupOnExit is set to 'True'
2025-07-23 11:10:05 DEBUG1: CleanupModulesOnExit is set to 'False'
2025-07-23 11:10:05 DEBUG1: IPv6 rpfilter is enabled
2025-07-23 11:10:05 DEBUG1: LogDenied is set to 'off'
2025-07-23 11:10:05 DEBUG1: FirewallBackend is set to 'nftables'
2025-07-23 11:10:05 DEBUG1: FlushAllOnReload is set to 'False'
2025-07-23 11:10:05 DEBUG1: RFC3964_IPv4 is set to 'True'
2025-07-23 11:10:05 DEBUG1: NftablesFlowtable is set to 'off'
2025-07-23 11:10:05 DEBUG1: NftablesCounters is set to 'False'
2025-07-23 11:10:05 DEBUG1: Loading lockdown whitelist
2025-07-23 11:10:05 ipset not usable, disabling ipset usage in firewall. Other set backends (nftables) remain usable.
2025-07-23 11:10:05 iptables-restore and iptables are missing, IPv4 direct rules won't be usable.
2025-07-23 11:10:05 ip6tables-restore and ip6tables are missing, IPv6 direct rules won't be usable.
2025-07-23 11:10:05 ebtables-restore and ebtables are missing, eb direct rules won't be usable.
2025-07-23 11:10:05 DEBUG1: Loading icmptype file '/usr/lib/firewalld/icmptypes/address-unreachable.xml'
2025-07-23 11:10:05 DEBUG1: Loading icmptype file '/usr/lib/firewalld/icmptypes/bad-header.xml'
2025-07-23 11:10:05 DEBUG1: Loading icmptype file '/usr/lib/firewalld/icmptypes/beyond-scope.xml'
2025-07-23 11:10:05 DEBUG1: Loading icmptype file '/usr/lib/firewalld/icmptypes/communication-prohibited.xml'
2025-07-23 11:10:05 DEBUG1: Loading icmptype file '/usr/lib/firewalld/icmptypes/destination-unreachable.xml'
[...]

    Tous les fichiers journaux sont disponibles dans /var/log/firewalld.

5 Informations complémentaires

 

Pour en savoir plus sur firewalld, reportez-vous aux ressources suivantes :