Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-un-client [09/10/2014 00:02] Hypathie [Introduction] |
doc:reseau:iptables-pare-feu-pour-un-client [09/10/2014 00:26] Hypathie [Pare-feu pour une station (client)] |
||
---|---|---|---|
Ligne 82: | Ligne 82: | ||
Une **table** permet de définir le plan de "travail". En effet, iptables ne sert pas uniquement à bloquer certains paquets et n'est pas uniquement utiliser pour dresser un pare-feu. On peut par exemple s'en servir modifier un paquet (table MANGLE), ou pour faire de la redirection de paquet (table NAT). | Une **table** permet de définir le plan de "travail". En effet, iptables ne sert pas uniquement à bloquer certains paquets et n'est pas uniquement utiliser pour dresser un pare-feu. On peut par exemple s'en servir modifier un paquet (table MANGLE), ou pour faire de la redirection de paquet (table NAT). | ||
- | Mais c'est la table filter permet d'utiliser iptables en tant que pare-feu. Avec cette table, on va indiquer à iptables un ensemble de règles dans un ordre précis afin qu'il sache s'il doit interdire ou autoriser le passage des paquets. \\ | + | Mais c'est la table filter qui permet d'utiliser iptables en tant que pare-feu et qui nous intéresse ici.\\ Avec cette table, on va indiquer à iptables un ensemble de règles dans un ordre précis afin qu'il sache s'il doit interdire ou autoriser le passage des paquets. \\ |
Dresser la table filter consistera à indiquer précisément à iptables pour quels paquets, pour quels ports ou protocoles, pour quelle direction... il y a autorisation ou interdiction de passage. | Dresser la table filter consistera à indiquer précisément à iptables pour quels paquets, pour quels ports ou protocoles, pour quelle direction... il y a autorisation ou interdiction de passage. | ||
Ligne 104: | Ligne 104: | ||
> **La première ligne ''Chain INPUT (policy ACCEPT)''** concerne les paquets entrants **''INPUT''**.\\ On voit que tout passe dans toutes les directions **''policy ACCEPT''**. | > **La première ligne ''Chain INPUT (policy ACCEPT)''** concerne les paquets entrants **''INPUT''**.\\ On voit que tout passe dans toutes les directions **''policy ACCEPT''**. | ||
- | > **En dessous ''target prot opt source destination''** ce sont les titres qui permettent de ranger dans un tableau bien lisible ce qui est mis en place : | + | > **En dessous ''target prot opt source destination''** ce sont les titres qui permettent de ranger le retour de la commande de listage dans un tableau bien lisible. Pratique pour lire plus facilement ce qui est mis en place : |
>> | >> | ||
>> **''target''** : c'est l'action à prendre, quand des règles seront mises en place, on trouvera dans cette colonne plusieurs lignes dont chacune aura l'une de ces valeurs :\\ **''ACCEPT''** (autoriser) ou **''DROP''** (interdire) ou **''REJECT''** (interdire en envoyant un signal d'interdiction). | >> **''target''** : c'est l'action à prendre, quand des règles seront mises en place, on trouvera dans cette colonne plusieurs lignes dont chacune aura l'une de ces valeurs :\\ **''ACCEPT''** (autoriser) ou **''DROP''** (interdire) ou **''REJECT''** (interdire en envoyant un signal d'interdiction). | ||
Ligne 175: | Ligne 175: | ||
<note> | <note> | ||
- | -F : (flush) : vider toutes les tables existantes\\ | + | -F : (flush) : vider toutes les chaînes existantes\\ |
- | -X : supprimer les règles personnelles | + | -X : supprimer les chaînes personnelles |
</note> | </note> | ||
Ligne 463: | Ligne 463: | ||
* Pour vérifier ses logs : | * Pour vérifier ses logs : | ||
- | On se connecte en ssh du client sur lequel on a installé le pare-feu vers un client de notre réseau; puis dans l'autre sens d'un client du réseau vers le client "pare-feuté" qui est aussi server ssh. | + | On se connecte en ssh du client sur lequel on a installé le pare-feu vers un client de notre réseau; puis dans l'autre sens d'un client du réseau vers le client "pare-feuté" qui est aussi serveur ssh. |
<code user>less /var/log/messages | grep OUTGOING_SSH</code> | <code user>less /var/log/messages | grep OUTGOING_SSH</code> | ||
Ligne 498: | Ligne 498: | ||
<code root>iptables-restore < /etc/iptables</code> | <code root>iptables-restore < /etc/iptables</code> | ||
- | Bon il ne faut pas oublier de mettre son pare-feu à chaque redémarrage !\\ | + | Bon il ne faut pas oublier de charger son pare-feu à chaque redémarrage !\\ |
Évitons ce risque et surtout de nous fatiguer...\\ | Évitons ce risque et surtout de nous fatiguer...\\ |