Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-11-2009 23:12:21

gutts
Membre
Inscription : 06-05-2009

Wiki - Documentation création pare-feu iptables

Et voilà,

Il est simple, tout le monde peut l'utiliser enfin voila quoi...
Merci de me faire un retour afin de l'améliorer

Disponible sur le wiki : c'est là

Dernière modification par martinux_qc (12-11-2009 03:23:06)

Hors ligne

#2 12-11-2009 04:10:07

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Salut

Depuis le temps que je veux essayer de vraiment comprendre comment fonctionne le pare-feu et comment créer les règles iptables, ce tuto me donne une bonne occasion de plonger dans le sujet.

Pour commencer, j'ai une première question tout bête. Pourquoi le fichier qui contient les règles iptables est créé dans le /home de l'utilisateur. Mes lectures antérieures sur le sujet montraient que ce fichier était plutôt créé dans /etc/init.d/. Si on a plusieurs utilisateurs pour un même ordi, ne devrait-on pas placer le fichier contenant les règles dans la / plutôt que dans le /home. Même avec un seul utilisateur, comme cela concerne la protection générale du système, qu'il s'agit de l'administration, je m'attendais à le trouver à la racine.

Merci d'avance pour la réponse.
Martin

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#3 12-11-2009 10:28:41

gutts
Membre
Inscription : 06-05-2009

Re : Wiki - Documentation création pare-feu iptables

Oui bien sur, il vaut mieux mettre cela dans un répertoire système sachant que, de toute facon, le script doit être éxécuté en root (d'où la crontab root), donc accès à ton home. (mon tuto n'est ni plus ni moins qu'un exemple expliqué)
Le mettre dans /etc/init.d bof bof, j'aime pas trop cette méthode.

Cordialement,

Hors ligne

#4 13-11-2009 03:28:10

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Merci pour la réponse. Au moment d'écrire mon message précédent je n'avais lu que le début du tuto voulant prendre le temps de bien comprendre ce qui est écrit. Je n'étais pas allé jusqu'à la section "Automatisation", d'où ma question.

Comme j'avais déjà lu sur le sujet il y a un bout de temps je ne me souviens pas de tout. Je mentionnais le /etc/init.d comme exemple dont je me rappelais (On trouve toute sorte de tuto et d'explications sur le web). Sinon, juste pour ma culture personnelle, pourrais-tu expliquer un peu pourquoi tu n'aimes pas trop cette méthode.

Merci bien
Martin

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#5 13-11-2009 13:41:27

Thuban
Modérateur
Distrib. : OpenBSD
Noyau : current
(G)UI : xfce ou dwm
Inscription : 09-01-2009
Site Web

Re : Wiki - Documentation création pare-feu iptables

j'ai testé, c'est plutot pas mal. Maintenant, je ne sais pas si ça protège super bien, j'ai ça avec le iptables -L !

Lothlorien:/home/xavier# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:55550

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere


la partie INPUT
ACCEPT     all  --  anywhere             anywhere       
indique que ça accepte les connections entrantes???

edit :  avec le fichier suivant, je ne peux pas me connecter en wifi :

#!/bin/bash
 
# Vider les tables actuelles (ou plus précisément, on vide la table filter, voir le man de iptables pour voir à quoi correspondent ces tables)
/sbin/iptables -t filter -F
# (Vider les règles personnelles )
/sbin/iptables -t filter -X
 
# Vider les règle de nattage (ou plus précisément, on vide les tables nat et mangle, voir le man de iptables pour voir à quoi correspondent ces tables)
/sbin/iptables -t nat -X
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -X
/sbin/iptables -t mangle -F
# Ne pas casser les connexions établies
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Interdire toute connexion entrante et sortante
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
# Autoriser loopback
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
#Autoriser tout en sortie
/sbin/iptables -t filter -A OUTPUT -o eth0 -j ACCEPT
#Autoriser tout en sortie
/sbin/iptables -t filter -A OUTPUT -o wlan0 -j ACCEPT
# ICMP (Ping)
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp  --dport 55550 -j ACCEPT

Dernière modification par Thuban (13-11-2009 20:11:35)


YA3HGA-H

Hors ligne

#6 18-11-2009 15:34:39

gutts
Membre
Inscription : 06-05-2009

Re : Wiki - Documentation création pare-feu iptables

Pour le wifi, c'est normal, il faut autoriser les flux sur ta carte wifi (remplacer eth0 par wlan0 entre-autres).
Pour tester la solidité du parefeu, je te conseille de faire un scan de port depuis une autre machine. Moi je l'ai fais et aucun ports ouverts tongue

@+ et merci pour ton/tes retour (s)

Hors ligne

#7 26-11-2014 00:52:08

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : 3.x.x-x-amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : Wiki - Documentation création pare-feu iptables

Pourquoi le wiki a t il disparu?

I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport
debian stable 64
Linux derniereversion 3.x.x-x-amd64
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#8 26-11-2014 03:51:20

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Pour des tutos à jour et complet, il suffit d'aller consulter les textes de Hypathie qui a produit des textes vraiment détaillés sur le sujet :
pare-feu pour un client
pare-feu pour une passerelle

Dernière modification par martinux_qc (26-11-2014 03:55:48)


"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#9 26-11-2014 08:15:05

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : 3.x.x-x-amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : Wiki - Documentation création pare-feu iptables

Ok merci l'ami
Bonne journee

I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport
debian stable 64
Linux derniereversion 3.x.x-x-amd64
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#10 07-05-2015 19:27:45

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : Wiki - Documentation création pare-feu iptables

Toujours en chantier ? tongue

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#11 07-05-2015 19:34:48

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

il faudrait bien les relire par des personnes bien informées avant de les passer au wiki. smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#12 07-05-2015 19:37:08

milou
Modo ... e
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015
Site Web

Re : Wiki - Documentation création pare-feu iptables

En attente du passage d'une bonne âme.... ?

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#13 07-05-2015 19:56:55

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Wiki - Documentation création pare-feu iptables

martinux_qc a écrit :

Pour des tutos à jour et complet, il suffit d'aller consulter les textes de Hypathie qui a produit des textes vraiment détaillés sur le sujet :
pare-feu pour un client
pare-feu pour une passerelle



enfin par pour tout le monde roll

pour ici le chantier est vide ?

Hors ligne

#14 07-05-2015 20:19:46

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

pas compris la question sur le chantier ?

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#15 07-05-2015 21:42:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Wiki - Documentation création pare-feu iptables

Celui-ci (du #1) http://debian-facile.org/doc:reseau:iptables , devrait être dans le chantier et non placé  hmm

ceux-là :
https://debian-facile.org/doc:reseau:ip … -un-client
https://debian-facile.org/doc:reseau:ip … passerelle
sont déjà plus aboutis  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#16 07-05-2015 21:44:43

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

diable diable.. mais oui ! smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#17 14-09-2015 21:48:57

Ir0nsh007er
Membre
Lieu : Montréal, PQ, Canada
Distrib. : Debian GNU/Linux 9.0 Stretch/Sid
Noyau : 4.7.0-1-amd64 #1 SMP Debian 4.7.5-1 (2016-09-26) x
(G)UI : Xfce 4.12.3
Inscription : 30-04-2015
Site Web

Re : Wiki - Documentation création pare-feu iptables

Rajout 2 liens passerelle et client

Moé avec mon P4: Intel(R) Pentium(R) 4 CPU 3.40GHz, Mémoire: 6G DDR2, Carte Graphique: NVIDIA Corp GT216 [GeForce GT 220] (rev a2)
Ir0nsh007er (49 72 30 6E 73 68 30 30 37 65 72).  Mon CV
Noob un jour, noob toujours cool
01001001 01110010 00110000 01101110 01110011 01101000 00110000 00110000 00110111 01100101 01110010

Hors ligne

#18 22-10-2015 11:42:35

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Wiki - Documentation création pare-feu iptables

Petite (re)fonte.  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

Pied de page des forums