Ingrédients

• 270 millilitres de lait d’avoine
• 50 grammes de graines de chia
• 1 cuillère à soupe de sirop d’érable ou de sirop d’agave
• 1 cuillère à café de thé matcha

Prévoir un bocal d’une contenance de ±400 millilitres.

Préparation

• mettre le lait, le sirop et le thé dans le bocal
• refermer le bocal et secouer fortement pour bien mélanger
• ajouter les graines de chia, refermer et secouer fortement
• placer au frais
• 15 minutes plus tard, re-secouer fortement : les graines de chia sont « normalement » montées dans la mousse de lait pendant le repos, il faut les faire se mélanger correctement au lait

Conserver au frais.

À consommer au petit déjeuner, au goûter, en guise de petit dessert… 🙂

Ingrédients

• 50 grammes d’algues déshydratées en paillettes (je prends ce mélange tout prêt et bio)
• 1 échalote
• 8 cornichons
• 1 petite gousse d’ail
• 45 millilitres (3 cuillères à soupe) de jus de citron, ou le jus d’un petit citron
• 1 cuillère à soupe de vinaigre de cidre
• 8 cuillère à soupe d’huile d’olive
• 1 cuillère à soupe de sauce soja

Préparation

• mettre l’échalote, les cornichons et la gousse d’ail dans le bol
• mettre le couvercle avec le bouchon et mixer 5 secondes à vitesse 5
• ajouter les algues
• ajouter tout le reste
• mettre le couvercle avec le bouchon et mixer 10 secondes à vitesse 4
• transvaser dans un bocal et garder au frais au minimum 15 minutes avant utilisation, le temps que les algues se réhydratent

Se conserve au frais.

Nota bene

• la recette originale ajoute un peu de poivre ou de mélanges de baies, je trouve que ce n’est pas nécessaire, mais faites-vous plaisir
• c’est délicieux tartiné sur du pain, mais aussi dans du riz froid, ou dans n’importe quelle salade
• si on n’a pas de thermomix, on peut utiliser un mixer pour exploser les cornichons/échalote/ail ou les couper fin à la main, et mélanger le tout manuellement.

Avant-propos

La commande du regarde la taille du dossier / fichier passé en paramètre alors que df va regarder les métadonnées d’une partition pour en afficher l’occupation.

Donc la question du résultat différent ne vaut que si on compare la sortie de du sur un dossier qui est un point de montage et qui ne contient pas d’autres points de montage (ou si on utilise du -x, qui fait que du n’analyse pas les autres points de montage).

Plusieurs réponses possibles

Sur ce commentaire sur StackOverflow (lien archive.org), on apprend que plusieurs raisons peuvent expliquer des résultats différents.

Ce commentaire nous donne 3 exemples :

• des applications qui utilisent encore des fichiers supprimés. On peut vérifier ça avec la commande lsof +aL1
• des fichiers plus grands que leur vraie taille, ce qui va tromper du mais pas df
• si des fichiers étaient présents dans un dossier avant qu’un système de fichier soit monté sur ce dossier, du ne les verra pas et ne les comptabilisera pas, contrairement à df

• 200 grammes d’huile d’olives
• 81 grammes de vinaigre de cidre
• 2 cuillères à café d’herbamare
• 1,5 cuillères à café d’ail en poudre
• 48 tours de moulin à poivre

Préparation

• tout mélanger bien fort

• 3 filets de poulets
• 40 centilitres de crème liquide entière
• 1 cuillère à café de poudre de curry jaune
• 1 cuillère à café de pâte de curry rouge
• ½ cuillère à café d’herbamare
• 20 tours de moulin de poivre blanc

Préparation

• détailler le poulet en dés
• faire revenir le poulet à la poêle
• une fois le poulet un peu doré, ajouter la crème puis tous les autres ingrédients
• bien mélanger
• faire cuire à petit feu le temps que la crème soit bien chaude

Servir avec des pâtes ou du riz.

Simple. Basique.

Différents outils existent pour lire et exploiter ces rapports :

• lire un rapport en CLI : https://github.com/keltia/dmarc-cat ;
• avec un semblant de GUI, et qui se base sur le précédent : https://framagit.org/fiat-tux/dmarc-cat-ui (juste histoire de pouvoir lire un rapport depuis un mail) ;
• pour stocker plein de rapports, les filtrer et pouvoir les lire : https://github.com/techsneeze/dmarcts-report-viewer ;
• dans le même style, on m’a signalé https://github.com/liuch/dmarc-srg ;
• pour avoir des stats agrégées avec plein de jolis graphiques : https://github.com/debricked/dmarc-visualizer.

Ingrédients

• 750 ml d’eau non chlorée (faites reposer de l’eau du robinet dans un cruche pendant une ou deux heures et c’est bon)
• 50 grammes de sucre
• 20 grammes de thé, de tisane, etc. Ajustez selon vos essais, mais 20 grammes est une bonne base de test.
• 50 ml de jus de citron
• 200 ml de levain de gingembre

Vous aurez besoin d’un bocal avec un joint en caoutchouc, genre le parfait, d’un litre

Préparation

• mettre l’eau dans le bocal
• ajouter le thé, la tisane, etc.
• fermer le bocal
• laisser infuser 24h
• filtrer et remettre l’infusion dans le bocal
• ajouter le sucre
• secouer jusqu’à dissolution
• ajouter le reste des ingrédients
• fermer le bocal
• laisser fermenter 24h à température ambiante
• mettre en bouteille
• laisser la bouteille à température ambiante 24h
• mettre la bouteille au frigo avant de déguster

Pour plus de pétillant, vous pouvez laisser la bouteille à température ambiante plus longtemps, mais attention au risque d’explosion.

La mise au frigo ralentit la fermentation mais ne la stoppe pas complètement : ne laissez pas traîner la boisson indéfiniment.

Recommandations

Quelques thés et autres infusions testées avec succès.

• thé des moines (20g/l), un assemblage de thé noir, thé vert, fleurs de jasmin, souci et quelques autres arômes
• jardin des reines (20g/l), un délice au goût surprenant !
• thé vert earl grey bergamote (15-20g/l). NB : la marque est exclusive des comptoirs de la bio, un groupement de magasins bio, donc ça ne se trouve pas partout
• à cœur joie (20g/l), millepertuis, tulsi et orange. NB : attention, le millepertuis peut interagir avec certains médicaments

Ingrédients

• 750 ml d’eau non chlorée (faites reposer de l’eau du robinet dans un cruche pendant une ou deux heures et c’est bon)
• 50 grammes de sucre
• 20 grammes de maté
• 50 ml de jus de citron
• 200 ml de levain de gingembre

Vous aurez besoin d’un bocal avec un joint en caoutchouc, genre le parfait, d’un litre

Préparation

• mettre l’eau dans le bocal
• ajouter le maté
• fermer le bocal
• laisser infuser 24h
• filtrer et remettre l’infusion dans le bocal
• ajouter le sucre
• secouer jusqu’à dissolution
• ajouter le reste des ingrédients
• fermer le bocal
• laisser fermenter 24h à température ambiante
• mettre en bouteille
• laisser la bouteille à température ambiante 24h
• mettre la bouteille au frigo avant de déguster

Attention : je ne sais pas à quoi c’est dû dans le maté, mais la pétillance de cette boisson est extrême ! Il faut dégazer la bouteille longtemps avant de pouvoir se servir. Mettez-vous au-dessus d’un évier pour l’ouvrir.

La mise au frigo ralentit la fermentation mais ne la stoppe pas complètement : ne laissez pas traîner la boisson indéfiniment.

Ingrédients

• 750 ml d’eau non chlorée (faites reposer de l’eau du robinet dans un cruche pendant une ou deux heures et c’est bon)
• 50 grammes de sucre
• 50 grammes de gingembre
• 50 ml de jus de citron
• 150 ml de levain de gingembre

Vous aurez besoin d’un bocal avec un joint en caoutchouc, genre le parfait, d’un litre

Préparation

• couper le gingembre en rondelles
• mettre l’eau dans le bocal
• ajouter le sucre
• secouer jusqu’à dissolution
• ajouter le reste des ingrédients
• fermer le bocal
• laisser fermenter 24h à température ambiante
• filtrer et mettre en bouteille
• laisser la bouteille à température ambiante 24h
• mettre la bouteille au frigo avant de déguster

Pour plus de pétillant, vous pouvez laisser la bouteille à température ambiante plus longtemps, mais attention au risque d’explosion.

La mise au frigo ralentit la fermentation mais ne la stoppe pas complètement : ne laissez pas traîner la boisson indéfiniment.

Par exemple, pour changer sa configuration avant utilisation, ou parce qu’un autre service écoute déjà sur le port que le service. J’ai cherché comment faire en voulant installer PostgreSQL sur un serveur où il y avait déjà un PostgreSQL installé par un autre paquet (le PostgreSQL fourni par Gitlab, en l’occurence).

La solution est fort simple et utilise les preset d’activation de systemd.

Exemple avec MariaDB (le nom du fichier doit suivre le modèle <priority>-<policy-name>.preset, voir la page de manuel) :

mkdir -p /etc/systemd/system-preset
vi /etc/systemd/system-preset/85-systemd.preset

Et dedans, mettre :

disable mariadb.*

On peut aussi forcer l’activation avec enable à la place de disable.

Je vous laisse voir la page de manuel pour plus de détails.

En effet, divers outils proposent des fichiers d’autocomplétion. Pour bash en premier lieu et s’ils supportent d’autres shell, zsh sera le deuxième sur la liste.

Thème

Pour avoir un thème sympa avec un prompt qui me donne un certain nombre d’informations, j’utilise powerlevel10k.

Gestion des virtualenv Python

Pour charger et décharger automatiquement les virtualenv Python, j’utilise zsh-autoswitch-virtualenv, en le modifiant un peu pour personnaliser le nom des dossiers contenant les virtualenv.

• du riz de chou-fleur

Sauce :

• 2 oignons
• 2 filets de poulet
• 1 briquette de crème
• 1 bouillon cube de volaille
• sel
• poivre
• huile d’olive

Préparation

• détailler les filets de poulet en petits cubes/morceaux ;
• couper les oignons en demi-rondelles ;
• faire chauffer une sauteuse avec un peu d’huile d’olive ;
• quand la sauteuse est chaude, ajouter les oignons et remuer fréquemment ;
• c’est le moment de lancer la cuisson du riz de chou-fleur ;
• quand les oignons sont un peu translucides, ajouter le poulet et remuer fréquemment ;
• quand le poulet est cuit, ajouter la crème, quelques tours de moulin à poivre et le bouillon cube et bien remuer pour le dissoudre ;
• laisser au chaud à feu doux pendant la cuisson du riz de chou-fleur ;
• goûter et ajouter un peu de sel au besoin ;
• quand le riz de chou-fleur est cuit, servir avec le riz de chou-fleur et napper de sauce.

• 1 chou-fleur
• un peu d’huile d’olive pour la cuisson
• sel

Préparation

• détailler le chou-fleur en fleurets ;
• exploser les fleurets au thermomix 10 secondes à vitesse 5 ;
• faire chauffer une poêle avec l’huile ;
• quand la poêle est chaude, ajouter le chou-fleur explosé ;
• ajouter un peu de sel ;
• remuer fréquemment ;
• quand le chou-fleur commence à rôtir, continuer encore un peu pour avoir suffisamment de chou-fleur rôti pour votre goût.

Parce que la vie est plus agréable avec des couleurs, j’aime bien agrémenter mes scripts avec des couleurs.

Outre le fait que ce soit plus joli, cela permet aussi de rendre plus lisible la sortie d’un script (un texte en rouge, on se doute que tout ne s’est pas bien passé avant même de lire le texte).

Je note donc ici les codes pour écrire en couleur dans des scripts shell, en tant que pense-bête.

Les codes

Remise à zéro du formatage

NC='\033[0m'

Couleurs de base

BLACK='\033[0;30m'
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[0;33m'
BLUE='\033[0;34m'
PURPLE='\033[0;35m'
CYAN='\033[0;36m'
WHITE='\033[0;37m'

En couleur et en gras

En gras, c’est bold en anglais, d’où le préfixe B.

BBLACK='\033[1;30m'
BRED='\033[1;31m'
BGREEN='\033[1;32m'
BYELLOW='\033[1;33m'
BBLUE='\033[1;34m'
BPURPLE='\033[1;35m'
BCYAN='\033[1;36m'
BWHITE='\033[1;37m'

Utilisation

RED='\033[0;31m'
NC='\033[0m'
echo -e "${RED}Hello world${NC}"

On notera ici trois choses :

1. l’encadrement de la variable par des accolades, pour la séparer du texte (sinon le shell essayerait d’interpréter la variable $REDHello, qui n’existe pas) ;
2. l’utilisation de l’option -e d’echo : selon le shell utilisé, le comportement sera différent (les shells bash, dash, zsh (et les autres aussi, sans doute) utilisent leur propre commande echo). L’option -e est nécessaire pour activer l’interprétation des backslash pour /usr/bin/echo, pas pour le echo de zsh. Dans le doute, il faut utiliser cette option.
3. l’utilisation de la variable de remise à zéro à la fin de la phrase. Certains shells vont conserver le changement de formatage de texte après le echo (bash, dash), d’autres non (zsh). Encore une fois, dans le doute, on remet le formatage à zéro.

On m’a signalé que printf était plus standardisé, donc au comportement plus constant entre les shells. Avec printf, ça donne :

RED='\033[0;31m'
NC='\033[0m'
printf "${RED}Hello world${NC}\n"

À noter, le \n final, car printf ne fait pas de retour à la ligne automatiquement.

C’est pas joli, c’est du CLI, mais ce qui est formidable, c’est que c’est très flexible (on peut enchaîner des modificateurs, genre sed, grep, etc.) et que ça peut se mettre en cron sur un serveur avant de s’oublier : je recevrais alors les notifications de modifications par mail.

C’est low-tech, ça va à l’essentiel, j’adore.

• 400 grammes de viande hachée
• 1 à 2 oignons, selon leur taille et votre goût
• 2 boîtes de tomates concassées de 400g chacune (800 grammes au total, donc)
• 200 grammes de purée de tomates
• 1 cuillère à café d’herbamare ou de sel
• 1 bouillon cube de volaille
• 1 cuillère à café de sucre
• 1 cuillère à café d’origan
• 1 cuillère à café de thym
• ½ cuillère à café d’ail en poudre
• ½ cuillère à café de curry
• huile d’olive

Préparation

• ciseler le ou les oignons
• dans une sauteuse, faire chauffer un peu d’huile d’olive
• faire revenir l’oignon
• une fois celui-ci devenu translucide, faire revenir la viande hachée
• une fois la viande cuite, baisser le feu
• ajouter tous les autres ingrédients, bien remuer
• faire mijoter 45 minutes à feu doux avec un couvercle

Éventuellement, en fin de cuisson, si la sauce est trop épaisse, ajouter de la purée de tomates pour délayer à votre goût.

Un levain de gingembre, ou ginger bug dans la langue d’outre-Manche, est vraiment comme un levain (au sens classique du terme) pour le pain : il permet la fermentation (non pas de pain, mais de boissons diverses et variées).

Bien évidemment, c’est avec ce levain qu’on fait de la ginger beer (article à venir), mais aussi bien d’autres boissons.

Ingrédients

• 1 racine de gingembre, bio de préférence
• du sucre blanc ou roux (j’utilise du blanc)
• de l’eau non chlorée (faites reposer de l’eau du robinet quelques heures dans un récipient ouvert et c’est bon)
• un bocal (genre «le Parfait», c’est top)
• une étamine

Préparation

Comme un levain pour le pain, la préparation du levain de gingembre prend plusieurs jours

1er jour

• versez 200ml d’eau dans le bocal
• ajoutez 3 cuillerées à soupe de tranches de gingembre (non pelées)
• ajoutez 3 cuillerées à soupe de sucre
• mélangez
• fermez le bocal avec l’étamine et un élastique pour la tenir en place
• laissez le bocal à température ambiante (si c’est l’hiver, évitez qu’il soit trop au froid)

L’étamine est là pour que le levain soit à l’air libre sans pour autant laisser les mouches venir dans le levain.

Jours 2 à 5

Ajoutez chaque jour 3 cuillerées à soupe de tranches de gingembre et 3 cuillerées à soupe de sucre. Mélangez et remettez l’étamine.

Aux alentours du 5e jour, vous devriez pouvoir voir de fines bulles dans le levain et l’entendre pétiller.

Votre levain est prêt !

Vous pouvez alors enlever l’étamine et fermer le couvercle du bocal.

Utilisation et conservation

Après utilisation selon la recette de la boisson à préparer, remettez de l’eau (autant que ce que vous avez utilisé de gingembre) et une ou deux cuillerées à soupe de sucre.

Entre deux utilisations, conservez le levain au frigo.

De temps en temps, changez le gingembre du bocal. Si vous ne l’utilisez pas pendant longtemps, donnez-lui un peu de sucre de temps à autre.

Si vous avez besoin de plus de levain que ce que vous avez, ajoutez de l’eau sucrée autant que nécessaire, en comptant 70 grammes de sucre par litre d’eau, ainsi que quelques tranches de gingembre. Laissez fermentez 24 heures avant de l’utiliser.

Ingrédients (pour 2 personnes)

• 1 oignon
• 250 grammes de champignons de Paris
• 10 grammes d’huile d’olive
• 1 branche de thym frais
• ½ tablette de bouillon de volaille
• 300 grammes d’eau
• sel
• poivre

Préparation

• placer l’oignon coupé en quatre et les champignons dans le bol
• hacher 10 secondes, vitesse 4
• ajouter 10 grammes d’huile d’olive
• faire revenir sans le gobelet 5 minutes, varoma, vitesse 0,5
• ajouter les 300 grammes d’eau, la branche de thym, la ½ tablette de bouillon de volaille émiettée, ½ cuillère à café rase de sel et quelques tours de moulin à poivre
• faire cuire 13 minutes à 98°C, vitesse 2
• retirer la branche de thym
• mixer 40 secondes, vitesse 10

Par exemple, je peux avoir un service qui n’a pas spécialement de port dédié, donc qui n’est pas proposé par firewall. Mettons un wireguard qui écoute sur le port 9879. Plutôt que d’utiliser 9879/udp dans ma configuration, je vais créer un service wireguard, et c’est ce service que j’autoriserai.

Ce sera bien plus parlant quand je relirai la configuration.

Liens :

• Documentation officielle : https://firewalld.org/documentation/
• https://www.linuxtricks.fr/wiki/firewalld-le-pare-feu-facile-sous-linux
• https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/
• https://kb.vander.host/security/firewalld-cheat-sheet/

Principes

En très gros et en très résumé, on va avoir des zones, qui sont des ensembles d'adresses IP et la zone public qui concerne toutes les IPs, sauf celles qui sont dans d’autres zones.

On va aussi avoir des services, qui décrivent... des services : port et protocole (ex: 5666 et tcp pour nrpe).

On va aussi avoir des « rich rules » dans les zones, des exceptions aux règles appliquées dans la zone.

Toute la configuration est dans des fichiers XML très simples à lire, c'est très agréable. Tant qu'on ne surcharge pas la configuration par défaut, les fichiers sont dans /usr/lib/firewalld/ mais dès qu'on modifie un élément de configuration, celui-ci se retrouvera copié dans /etc/firewalld/ et modifié.

Test de configuration

Si on modifie de la configuration à la main (en écrivant dans /etc/firewalld, on prendra soin de tester la configuration avec les commandes suivantes :

Si firewalld est coupé :

firewall-offline-cmd --check-config

Si firewalld est lancé :

firewall-cmd --check-config

Attention

Quand on installe firewalld, le firewall démarre de suite en n’autorisant en public que ssh (et dhcpv6-client).

Il est donc préférable de l’installer et de le couper directement après :

apt install firewalld &&
  systemctl stop firewalld

On pourra créer la configuration tranquillement avec la commande firewall-offline-cmd et lancer le service une fois la configuration terminée.

Changements permanents

Si on veut rendre un changement permanent (c-à-d qu'il soit écrit dans la config au lieu d'être juste appliqué jusqu'au redémarrage), il faut ajouter ça aux commandes :

--permanent

Par contre, avec --permanent, il faut recharger la configuration pour appliquer les modifications (ou alors on applique une fois avec --permanent et une fois sans) :

firewall-cmd --reload

À l’inverse, on peut créer des règles sans le --permanent et ensuite écrire ces règles dans la configuration permanent avec la commande suivante :

firewall-cmd --runtime-to-permanent

NB : certaines commandes nécessitent forcément le --permanent.

Bloquer une adresse IP

On peut soit ajouter les adresses aux zones drop ou block :

firewall-cmd --zone=drop --add-source 192.0.2.0/24
firewall-cmd --zone=drop --add-source 192.0.2.0/24 --permanent

Soit ajouter une rich-rule (man firewalld.richlanguage) à la zone public :

firewall-cmd --zone public --add-rich-rule "rule family=ipv4 source address=192.0.2.0/24 reject"
firewall-cmd --zone public --add-rich-rule "rule family=ipv4 source address=192.0.2.0/24 reject" --permanent

Pour enlever un blocage :

firewall-cmd --zone drop   --remove-source 51.159.0.0/16
firewall-cmd --zone drop   --remove-source 51.159.0.0/16 --permanent

firewall-cmd --zone public --remove-rich-rule "rule family=ipv4 source address=51.159.0.0/16 reject"
firewall-cmd --zone public --remove-rich-rule "rule family=ipv4 source address=51.159.0.0/16 reject" --permanent

Pour voir les blocages par rich-rule (la 1ère commande donne les blocages actuellement activés, l’autre ceux qui sont dans les fichiers de configuration. Il peut y avoir une différence… ou pas !) :

firewall-cmd --list-rich-rules
firewall-cmd --list-rich-rules --permanent

Pour bloquer un ipset (voir plus bas) :

firewall-cmd --zone=drop --add-source ipset:le_nom_de_l_ipset
firewall-cmd --zone=drop --add-source ipset:le_nom_de_l_ipset --permanent

Zones

Voir les zones disponibles :

firewall-cmd --get-zones

NB : la zone public, par défaut, n'autorise que le SSH et dhcpv6-client. L'installation de firewalld sur une machine va donc couper l'accès aux services. Il faut donc stopper firewalld juste après son installation, regarder les ports utilisés sur la machine et modifier la zone public soit en copiant /usr/lib/firewalld/zones/public.xml dans /etc/firewalld/zones/, soit en préparant une ligne de commande à lancer juste après le démarrage de firewalld.

NB : les zones peuvent avoir une target, l'action à appliquer aux connexions qui correspondent à la zone. Voir la doc.

NB : Une adresse IP ne peut se trouver que dans une seule zone mais on peut ajouter dans une zone un réseau qui contient une adresse IP déjà présente dans une autre zone. Cependant, le comportement peut ne pas être celui attendu. Il vaut mieux ajouter une rich-rule à la zone pour faire une exception aux règles de la zone.

Voir la zone par défaut (celle sur laquelle s'appliqueront les modifications si on ne spécifie pas la zone) :

firewall-cmd --get-default-zone

Définir la zone par défaut :

firewall-cmd --set-default-zone work

Voir la configuration de la zone :

firewall-cmd --info-zone lazone

Voir la configuration de toutes les zones :

firewall-cmd --list-all-zones

Créer une zone :

firewall-cmd --permanent --new-zone mazone
firewall-cmd --reload

Supprimer une zone :

firewall-cmd --permanent --delete-zone mazone
firewall-cmd --reload

Chaque interface du système peut être attribuée à une zone. Pour ajouter l’interface ens192 à la zone work en l’enlevant de sa précédente zone :

firewall-cmd --change-interface ens192 --zone work [--permanent]

Pour retirer l’interface ens192 de la zone work :

firewall-cmd --remove-interface ens192 --zone work [--permanent]

Pour ajouter l’interface ens192 à la zone work (interface qui ne soit pas être affectée à une zone) :

firewall-cmd --add-interface ens192 --zone work [--permanent]

Ajouter des adresses IP ou un réseau à une zone :

firewall-cmd --zone work --add-source 192.0.2.0/24 [--permanent]
firewall-cmd --zone work --add-source 192.0.2.200 [--permanent]

Retirer des adresses IP ou un réseau d'une zone :

firewall-cmd --zone work --remove-source 192.0.2.0/24 [--permanent]
firewall-cmd --zone work --remove-source 192.0.2.200 [--permanent]

Pour basculer une adresse IP ou un réseau d'une zone à une autre :

firewall-cmd --zone l_autre_zone --change-source 192.0.2.0/24 [--permanent]
firewall-cmd --zone l_autre_zone --change-source 192.0.2.200 [--permanent]

Si l'adresse IP / le réseau était dans une autre zone, ça équivaut à un --remove-source suivi d'un --add-source, si ce n'était pas le cas, ça fait juste comme un --add-source.

Voir la target d'une zone :

firewall-cmd --permanent --get-target --zone drop

Définir la target d'une zone :

firewall-cmd --permanent --set-target [default|ACCEPT|DROP|REJECT] --zone drop

Pour voir dans quelle zone est une adresse IP :

firewall-cmd --get-zone-of-source=<adresse IP ou réseau en notation CIDR ou adresse MAC ou ipset>

Si ça répond no zone, c’est que l’IP ou le réseau n’est pas explicitement associé à une zone.
Attention : si un réseau est enregistré dans une zone, lancer la commande sur une IP du réseau ne renverra pas la zone en question !

Services

Voir les services existants :

firewall-cmd --get-services

Voir le détail d'un service :

firewall-cmd --info-service ssh

Créer un nouveau service :

firewall-cmd --permanent --new-service influxdb
firewall-cmd --permanent --service influxdb --set-description InfluxDB
firewall-cmd --permanent --service influxdb --add-port 8086/tcp

Ajouter un service à une zone :

firewall-cmd --zone public --add-service nrpe [--permanent]

Retirer un service d'une zone :

firewall-cmd --zone public --remove-service nrpe [--permanent]

Voir les services d'une zone :

firewall-cmd --list-services --zone work

Si on ne souhaite pas créer de service mais autoriser un certain port et protocole, on peut les ajouter directement à la zone :

firewall-cmd --zone work --add-port 1234/udp [--permanent]

Et pour les supprimer :

firewall-cmd --zone work --remove-port 1234/udp [--permanent]

Pour voir les ports/protocoles d'une zone (ça ne listera pas les services !) :

firewall-cmd --list-ports --zone work

IPSet : groupes d'adresses

Doc : https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/sec-setting_and_controlling_ip_sets_using_firewalld

Cas d'usage : on voit plein de spammeurs venant du VPN d'Avast. On fait un whois, on voit le numéro d'AS des serveurs d'Avast, on va sur https://asnlookup.com/ pour choper leur liste d'adresses IP et on en fait un ipset pour les bloquer.

NB : un ipset ne peut contenir qu'un type d'adresses, IPv4 ou IPv6, pas les deux.

NB : Fail2ban, lorsqu'il utilise firewalld, utilise des ipset, mais à un niveau un peu plus bas (nftables). Ces ipset ne sont pas vus par firewalld. On peut voir tous les ipset, même bas niveau avec la commande ipset list -name (ipset list le_nom_de_l_ipset pour voir les adresses et le détail de l'ipset).

Un ipset sert à regrouper des adresses pour leur appliquer des règles facilement.

Voir les types d'ipset disponibles :

firewall-cmd --get-ipset-types

Voir les ipsets existants :

firewall-cmd --permanent --get-ipsets

Créer un ipset :

firewall-cmd --permanent --type hash:net --new-ipset test

Pour un ipset IPv6 :

firewall-cmd --permanent --type hash:net --option "family=inet6" --new-ipset test-v6

Supprimer un ipset :

firewall-cmd --permanent --delete-ipset test

Voir les infos d'un ipset :

firewall-cmd --info-ipset test [--permanent]

Ajouter une adresse IP à un ipset :

firewall-cmd --ipset test --add-entry 192.0.2.1 [--permanent]

Supprimer une adresse IP d'un ipset :

firewall-cmd --ipset test --remove-entry 192.0.2.1 [--permanent]

Voir les adresses IP d'un ipset :

firewall-cmd --ipset test --get-entries [--permanent]

Ajouter un paquet d'IP d'après un fichier :

cat > iplist.txt <<EOL
192.0.2.2
192.0.2.3
198.51.100.0/24
203.0.113.254
EOL
firewall-cmd --ipset test --add-entries-from-file iplist.txt [--permanent]

Supprimer un paquet d'IP d'après un fichier :

firewall-cmd --ipset test --remove-entries-from-file iplist.txt [--permanent]

Ajouter un ipset dans une zone :

firewall-cmd --zone drop --add-source ipset:test [--permanent]

Supprimer un ipset d'une zone :

firewall-cmd --zone drop --remove-source ipset:test [--permanent]

Créer des exceptions avec des règles riches

Cas classique : on bloque un pays avec des ipset et quelqu'un a besoin d'accéder à nos services depuis là-bas.

L'ipset est dans la zone drop. On va ajouter une rich-rule pour faire une exception :

firewall-cmd --zone drop             --add-rich-rule='rule family="ipv4" source address="192.0.2.29" port port="443" protocol="tcp" accept'
firewall-cmd --zone drop             --add-rich-rule='rule family="ipv4" source address="192.0.2.29" port port="80" protocol="tcp" accept'
firewall-cmd --zone drop --permanent --add-rich-rule='rule family="ipv4" source address="192.0.2.29" port port="443" protocol="tcp" accept'
firewall-cmd --zone drop --permanent --add-rich-rule='rule family="ipv4" source address="192.0.2.29" port port="80" protocol="tcp" accept'

Pour supprimer l'exception :

firewall-cmd --zone drop             --remove-rich-rule 'rule family="ipv4" source address="192.0.2.29" port port="80" protocol="tcp" accept'
firewall-cmd --zone drop             --remove-rich-rule 'rule family="ipv4" source address="192.0.2.29" port port="443" protocol="tcp" accept'
firewall-cmd --zone drop --permanent --remove-rich-rule 'rule family="ipv4" source address="192.0.2.29" port port="80" protocol="tcp" accept'
firewall-cmd --zone drop --permanent --remove-rich-rule 'rule family="ipv4" source address="192.0.2.29" port port="443" protocol="tcp" accept'

On peut utiliser des services dans les règles riches :

firewall-cmd --zone drop --add-rich-rule='rule family="ipv4" source address="192.0.2.29" service name=https accept'

On peut utiliser des ipset dans les règles riches :

firewall-cmd --zone drop --add-rich-rule='rule family="ipv4" source ipset="test-v6" service name=https accept'

NB : ajouter l'adresse IP en source dans la zone public ne servirait strictement à rien.

Blocage geoIP

On peut se baser sur le script de https://github.com/simonbouchard/geoip-blocking-w-firewalld (le fork de Framasoft).

On modifie les pays à bloquer dans /etc/default/firewalld-geoip et on lance le script. À mettre dans un cron pour mettre à jour les adresses.

Faire du NAT

Voir la partie Network Address Translation (NAT) de https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/. Je n’ai pas eu l’occasion de tester ça.