L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:reseau:iptables-pare-feu-pour-un-client [06/11/2014 17:56]
Hypathie [Pare-feu pour une station (client)]
+++ doc:reseau:iptables-pare-feu-pour-un-client [01/11/2015 17:33]
milou [Fonctionnement d'iptables]
@@ Ligne 4: / Ligne 4: @@
   * Niveau requis : {{tag> avisé}}
   * Commentaires : //Contexte d'utilisation du sujet du tuto. //
-  * Suivi : {{à-placer}}
+  * Suivi : {{tag>à-tester}}
     * Création par [[user>Hypathie]] 08/10/2014
     * Testé par <...> le <...>
@@ Ligne 53: / Ligne 53: @@
 **SSL/https** = UDP 443((voir samba))\\
 **[[doc:reseau:dns|DNS]]** = UDP = 53\\
-**[[atelier:chantier:dhcp|DHCP]]** = UDP = 67 et 68\\
+**[[doc:reseau:dhcp|DHCP]]** = UDP = 67 et 68\\
 **[[doc:reseau:samba|SAMBA]]** = 137-139 et 445 (voir ci-dessous)\\
 **NETBIOS** = 137-139\\
@@ Ligne 98: / Ligne 98: @@
 > **''-t table''** : pour demander une table en particulier((Par défaut c'est la table filter qui est listée, donc on peut aussi utiliser la commande: ''iptables -L'' pour le même résultat.))
-<code>
+<code config retour de la commande>
 Chain INPUT (policy ACCEPT)
 target     prot opt source               destination
@@ Ligne 143: / Ligne 143: @@
 Une chaîne est un ensemble de règles définies dans un **ordre précis**.\\ Pour l'instant, il n'y n'a pas de règle mais une fois le pare-feu mis en place on pourrait avoir par exemple pour les entrées ''INPUT'':
 <code root>iptables -L --line-numbers Chain INPUT</code>
-<code>
-num  target   prot opt  source     destination
+<code config retour de la commande>num  target   prot opt  source     destination
     ACCEPT   tcp  --  anywhere    anywhere    tcp dpt:www
     ACCEPT   tcp  --  anywhere    anywhere    tcp dpt:ssh
-    ACCEPT   tcp  --  anywhere    anywhere    tcp dpt:imap2
+    ACCEPT   tcp  --  anywhere    anywhere    tcp dpt:imap2</code>
-</code>
 >**Il y a bien un ordre précis** :
 >>La première règle (''1'') autorise ''ACCEPT'', le protocole ''tcp'', venant de partout ''anywhere'', allant partout ''anywhere'', et cela pour ''www'', le web (ou port 80).
+>>
 >>La seconde (''2'') pour ''ssh''
+>>
 >>la troisième (''3'')pour ''imap2''
@@ Ligne 301: / Ligne 303: @@
  RELATED,ESTABLISHED -j ACCEPT
 </code>
+===Pour IMAP et SMTP (utilisation de messagerie icedove) ===
+<code root>iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
+iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT </code>
+Pour la liste des ports selon les serveurs de messagerie utilisés voir : [[https://www.arclab.com/en/amlc/list-of-smtp-and-imap-servers-mailserver-list.html|list of smtp and imap servers mailserver]]
 ===Pour installer une imprimante partagée ===
@@ Ligne 322: / Ligne 331: @@
 **Dans ce cas au niveau de la passerelle** :
-Si elle dotée d'un pare-feu, il faudra que son pare-feu permette le trafic pour le port 631, c'est-à-dire accepter sur eth0 (réseau 192.168.0.0/24) les entrées et les sorties tcp sur le port 631.\\
+Si elle dotée d'un pare-feu, il faudra que **son** pare-feu permette le trafic pour le port 631, c'est-à-dire accepter sur eth0 (réseau 192.168.0.0/24) les entrées et les sorties tcp sur le port 631.\\
 Par exemple :
-<code root>iptables -A INPUT -i eth0 -s 192.168.0.22 -d 192.168.0.1 -p tcp\
- --sport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.22 -p tcp\
+  iptables -A INPUT -i eth0 -s 192.168.0.22 -d 192.168.0.1 -p tcp --sport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
- --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+  iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-</code>
 Voir : [[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|Script d'une passerelle]]
 </note>
@@ Ligne 521: / Ligne 529: @@
-====Sauvegarder ses règles ====
+=====Sauvegarder ses règles =====
 En l'état actuel, si on éteint le système au redémarrage nos règles et tables utilisateur auront disparu.\\
 Pour les sauvegarder, il y a plusieurs méthodes. On peut créer un script de démarrage, ou se servir de les commandes iptables-save et iptables-restore.\\
 On choisira d'abord la seconde méthode car c'est la plus simple !
-===Avec les commandes iptables-save et iptables-restore===
+====Avec les commandes iptables-save et iptables-restore====
 La commande iptables-save crée un fichier et la commande iptables-restore charge la dernière sauvegarde à partir du fichier crée par iptables-save.
-  * Pour sauvegarder toutes les règles :
+===Pour sauvegarder toutes les règles===
 <code root>iptables-save > /etc/firewall-client</code>
-  * Pour les charger après le redémarrage :
+===Pour les charger après le redémarrage===
 <code root>iptables-restore < /etc/firewall-client</code>
@@ Ligne 539: / Ligne 547: @@
 Évitons ce risque et surtout de nous fatiguer...\\
-  * Pour restaurer automatiquement les règles au démarrage
+===Pour restaurer automatiquement les règles au démarrage===
-On va installer la commande iptables-restore avant que les interfaces ne soient chargés via le fichier /etc/network/interfaces.\\
+On va installer la commande iptables-restore avant que les interfaces ethernet ne soient chargés via le fichier /etc/network/interfaces.\\
-L'avantage de cette méthode est la possibilité de créer des règles personnalisées pour chaque interface. Si les règles sont indépendantes des interfaces, on place la commande  iptables-restore en pre-up de la boucle locale.
 <code root>vim /etc/network/interfaces</code>
@@ Ligne 553: / Ligne 559: @@
 </code>
-Donc le jour où on installera une carte wifi sur son vieil ordi fixe, on se teste d'abord quelques nouvelles règles iptables, puis quand elles sont tip-top, on les sauvegarde  en créant un ''iptables-save > /etc/iptables-wifi''.\\
+===Avantages de cette méthode===
+  * La possibilité de créer des règles personnalisées pour chaque interface.
+Si les règles sont indépendantes des interfaces, on place la commande  iptables-restore en pre-up de la boucle locale.
+On peut créer plusieurs fichiers à restaurer, un pour chaque interface par exemple, ou un fichier particulier pour un service particulier (un pour masquerade et squid, un autre pour un pare-feu)...
+Ainsi par exemple le jour où on ajoutera une carte wifi sur son vieil ordi fixe, on se teste quelques nouvelles règles iptables, puis quand elles sont tip-top, on les sauvegarde  en créant un ''iptables-save > /etc/iptables-wifi''.\\
 On ne restera plus qu'à ajouter ''pre-up iptables-restore < /etc/iptables-wifi'' avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà...
-===Pour les fadas du "scripting" shell===
+  * Une grande facilité de modification des règles du pare-feu :
+Si pour une raison ou une autre il est nécessaire d'ajouter une règle au pare-feu, ou d'en supprimer une pour la modifier, on peut utiliser la commande iptables de suppression :
-**C'est soit la méthode précédente, soit celle-ci !**\\
+Par exemple :\\
-(Pour tester n'oubliez pas de commenter, mettre un ''#'' devant la ligne\\ ''pre-up iptables-restore < /etc/firewall-client'' du fichier /etc/network/interfaces ajoutée lors de la méthode précédente.)
+Lister les règles avec un numéro de ligne :
+  iptables -L INPUT -n --line-numbers
+Supprimer une ligne particulière (avec le numéro de la colonne de gauche) :
+  iptables -D INPUT numeroDeLaLigneASupprimer
+Dans ce cas pour sauvegarder les nouvelles règles il n'y a qu'à relancer :
+  iptables-save > /etc/même_nom_de_fichier_que_celui_modifier
+Ainsi cela évite de modifier un quelconque fichier, et l'on peut se servir de toutes les commandes fournies par sa distribution.
+====Pour les fadas du "scripting" shell====
+Le script suivant permettra de mettre en place le pare-feu à chaque démarrage du système.\\
+Donc c'est soit la méthode de sauvegarde des règles iptables précédente, soit celle-ci.\\
+Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces.
+  * Ce script permettra :
+<code root>/etc/init.d/firewall-client.sh</code>
+  Usage: /etc/init.d/firewall-client.sh { start | stop | restart | status }
+  * Par exemple pour supprimer toutes les règles de toutes les tables :
+<code root>/etc/init.d/firewall-client.sh stop</code>
+  * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore)
+  * Avec "start"  pour relancer toutes les règles avec le script lui-même et les sauvegarder
+  * Avec "status" pour l'affichage des règles FILTER et NAT)
+<note tip>
+Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables du script.\\
+Pour ce faire :\\
+**''update-rc.d -f firewall-client.sh remove''**
+**''vim /etc/init.d/firewall-client.sh''**
+-> On modifie ce qu'on veut
+**''update-rc.d -f firewall-client.sh default''**
+Si l'on n'inscrit pas toute modification dans /etc/init.d/firewall-client.sh ainsi qu'une réinitialisation de ipdate-rc, comme ci-dessus, la simple commande iptables-save lancée après toutes modifications de règles iptables seraient écrasées au prochain redémarrage du système qui ré-installera les règles du script /etc/init.d/firewall-client laissées en l'état.
+</note>
 <code bash firewall-client.sh>
@@ Ligne 579: / Ligne 638: @@
 # Author: hypathie <hypathie@debian-facile>
 #
-##Set up init.d script
+##Set up /etc/init.d/firewall-client
 case "$1" in
 'start')
-/sbin/iptables-restore < /etc/firewall-client
-RETVAL=$?
-;;
-'stop')
-/sbin/iptables-save > /etc/firewall-client
-RETVAL=$?
-;;
-'clean')
 ##Set up firewall-client
-# Clear any existing rules
+# Clear any FILTER existing rules
 /sbin/iptables -F
 # Delete all User-specified chains
@@ Ligne 611: / Ligne 662: @@
 /sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
 /sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
+#Allow mailing protocols (IMAP and SMTP)
+/sbin/iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 #Allow cups
 iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
@@ Ligne 634: / Ligne 688: @@
 /sbin/iptables -t filter -A OUTPUT -o eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
 /sbin/iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
+echo "set up firewall-client .........> [OK]"
+/sbin/iptables-save > /etc/firewall-client
+echo "iptables-save > /etc/firewall-client .........> [OK]"
+RETVAL=$?
+;;
+'stop')
+# delete any existing rules
+/sbin/iptables -t filter -F
+/sbin/iptables -t nat -F
+/sbin/iptables -t mangle -F
+/sbin/iptables -t raw -F
+/sbin/iptables -t filter -P INPUT ACCEPT
+/sbin/iptables -t filter -P OUTPUT ACCEPT
+/sbin/iptables -t filter -P FORWARD ACCEPT
+echo "FILTER [ALL RULES .... [FLUSH] ..... POLICY ......> [ACCEPT]"
+/sbin/iptables -t nat -P PREROUTING ACCEPT
+/sbin/iptables -t nat -P POSTROUTING ACCEPT
+/sbin/iptables -t nat -P OUTPUT ACCEPT
+/sbin/iptables -t mangle -P PREROUTING ACCEPT
+/sbin/iptables -t mangle -P OUTPUT ACCEPT
+/sbin/iptables -t mangle -P POSTROUTING ACCEPT
+/sbin/iptables -t mangle -P FORWARD ACCEPT
+/sbin/iptables -t mangle -P INPUT ACCEPT
+/sbin/iptables -t raw -P OUTPUT ACCEPT
+/sbin/iptables -t raw -P PREROUTING ACCEPT
+echo "ALL TABLES ....[FLUSH] ..... ALL POLICY .......> [ACCEPT]"
 RETVAL=$?
 ;;
 'restart')
-$0 stop && $0 start
+/sbin/iptables-restore < /etc/firewall-client
+echo "/etc/firewall-client ........[OK]"
+RETVAL=$?
+;;
+'status')
+/sbin/iptables -L -n --line-numbers
+/sbin/iptables -t nat -L -n --line-numbers
 RETVAL=$?
 ;;
 *)
-echo "Usage: $0 { start | stop | restart | clean}"
+echo "Usage: $0 { start | stop | restart | status }"
 RETVAL=1
 ;;
@@ Ligne 648: / Ligne 734: @@
 </code>
-===firewall-client.sh comme script init===
+===Instalation de firewall-client.sh comme script init===
-Après avoir téléchargé firewall-client.sh.
+  * Téléchargé firewall-client.sh.
+  * Déplacer le fichier firewall-client.sh dans le répertoire d'init :
 <note important>
 Attention de bien changer $USER par votre nom d'utilisateur !\\
 Pour pouvoir écrire (i.e. créer un fichier dans un dossier root, il faut lancer la commande en tant que root. Et donc $USER serait l'utilisateur root qui n'a pas de fichier "Téléchargements".
 </note>
-  * Déplacer dans le répertoire d'init :
 <code root>mv /home/$USER/Téléchargements/firewall-client.sh /etc/init.d/</code>
-  * Ajouter les droits d'exécution au fichier pour en faire un exécutable :
+  * Définir les droits d'exécution et l'appartenance du fichier /etc/init.d/firewall-client.sh
+Ils doivent être :
 <code root>
-chmod +x /etc/init.d/firewall-client.sh
+chmod 0755 /etc/init.d/firewall-client.sh
-chmod 755 /etc/init.d/firewall-client.sh
+chown root:root /etc/init.d/firewall-client.sh
 </code>
@@ Ligne 670: / Ligne 759: @@
 <code root>update-rc.d firewall-client.sh defaults</code>
-Et si tout c'est bien passé, au prochain redémarrage :
+  * Pour démarrer :
+<code root>update-rc.d firewall-client.sh defaults</code>
+===Et si tout c'est bien passé===
+Au prochain redémarrage, pendant la mise en route du système :
+  * Le pare-feu se met en place pendant le démarrage du système
+<code>set up firewall-client .........> [OK]
+iptables-save > /etc/firewall-client .........> [OK]</code>
+  * On peut le vérifier :
 <code root>iptables -L -n --line-numbers</code>
-tout est là ! 8-)
+Ou (plus complet) :
+<code root>/etc/init.d/firewall-client.sh status</code>
+Tout est là ! 8-)
 <note tip>
@@ Ligne 690: / Ligne 793: @@
 Et voilà c'est déjà fini ;-)
-**Prochain n° sur iptables : "[[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&|un pare-feu pour une passerelle Debian]]".**
+**Prochain n° sur iptables : "[[doc:reseau:iptables-pare-feu-pour-une-passerelle|un pare-feu pour une passerelle Debian]]".**
 =====Récapitulatif, commandes, options, syntaxe =====
@@ Ligne 703: / Ligne 806: @@
 | -L -t typetable | lister les règles d'un type de table où typetable est\\ soit ''FILTER''\\ soit ''NAT''\\ soit ''MANGLE'' ... |
 |-E <nowiki>[chain]</nowiki> | renommer la chaîne chain |
-| -F <nowiki>[chain]</nowiki> | effacer (flush) les règles de la chaîne chain\\ ATTENTION\\ si on ne précise pas de chaîne, tout est effacé ! |
+| -F <nowiki>[chain]</nowiki> | effacer (flush) les règles de la chaîne chain |
 | -N chain | créer une nouvelle chaîne chain par l'usager |
 | -X chain | effacer la chaîne chain de l'usager |
-| -P chain target | définir la politique par défaut de la chaîne chain\\ où **target** est\\ soit ''ACCEPT''\\ soit ''DROP''\\ soit ''REJETC'' |
+| -P chain target | définir la politique par défaut de la chaîne chain\\ où **target** est\\ soit ''ACCEPT''\\ soit ''DROP''\\ soit ''REJECT'' |
 | -Z <nowiki>[chain]</nowiki> | remise à zéro des compteurs dans la chaîne chain si elle est indiquée |

doc/reseau/iptables-pare-feu-pour-un-client.txt · Dernière modification: 31/05/2023 20:57 par lagrenouille

Debian-facile

Différences

Pied de page des forums