Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [07/11/2014 09:11] Hypathie [Pare-feu pour une station (client)] |
doc:reseau:iptables-pare-feu-pour-un-client [07/11/2014 10:40] Hypathie [Pare-feu pour une station (client)] |
||
|---|---|---|---|
| Ligne 542: | Ligne 542: | ||
| On va installer la commande iptables-restore avant que les interfaces ne soient chargés via le fichier /etc/network/interfaces.\\ | On va installer la commande iptables-restore avant que les interfaces ne soient chargés via le fichier /etc/network/interfaces.\\ | ||
| - | L'avantage de cette méthode est la possibilité de créer des règles personnalisées pour chaque interface. Si les règles sont indépendantes des interfaces, on place la commande iptables-restore en pre-up de la boucle locale. | + | * L'avantage de cette méthode : est la possibilité de créer des règles personnalisées pour chaque interface. |
| + | Si les règles sont indépendantes des interfaces, on place la commande iptables-restore en pre-up de la boucle locale. | ||
| <code root>vim /etc/network/interfaces</code> | <code root>vim /etc/network/interfaces</code> | ||
| Ligne 555: | Ligne 556: | ||
| On ne restera plus qu'à ajouter ''pre-up iptables-restore < /etc/iptables-wifi'' avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà... | On ne restera plus qu'à ajouter ''pre-up iptables-restore < /etc/iptables-wifi'' avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà... | ||
| + | |||
| + | * Une grande facilité de modification des règles du pare-feu : | ||
| + | Si pour une raison ou une autre il est nécessaire d'ajouter une règle au pare-feu, ou d'en supprimer une pour la modifier, on peut utiliser la commande iptables de suppression : | ||
| + | |||
| + | Par exemple : | ||
| + | Lister les règles avec un numéro de ligne : | ||
| + | |||
| + | iptables -L INPUT -n --line-numbers | ||
| + | |||
| + | Supprimer une ligne particulière (avec le numéro de la colonne de gauche) : | ||
| + | |||
| + | iptables -D INPUT numeroDeLaLigneASupprimer | ||
| + | |||
| + | Dans ce cas pour sauvegarder les nouvelles règles il n'y a qu'à relancer : | ||
| + | |||
| + | iptables-save > /etc/même_nom_de_fichier_que_celui_modifier | ||
| + | |||
| + | Ainsi cela évite de modifier un quelconque fichier, et l'on peut se servir de toutes les commandes fournies par sa distribution. | ||
| ===Pour les fadas du "scripting" shell=== | ===Pour les fadas du "scripting" shell=== | ||
| + | Le script suivant permettra de mettre en place le pare-feu à chaque démarrage du système.\\ | ||
| + | Donc c'est soit la méthode de sauvegarde des règles iptables précédente, soit celle-ci.\\ | ||
| + | Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | ||
| + | * Ce script permettra un rappel des possibilités : | ||
| + | <code root>/etc/init.d/firewall-client.sh</code> | ||
| + | |||
| + | Usage: /etc/init.d/firewall-client.sh { start | stop | restart | status } | ||
| + | |||
| + | * Par exemple pour supprimer toutes les règles de toutes les tables : | ||
| + | <code root>/etc/init.d/firewall-client.sh stop</code> | ||
| + | |||
| + | * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | ||
| + | * Avec "start" pour relancer toutes les règles avec le script lui-même et les re-sauvegarder | ||
| + | * Avec "status" pour l'affichage des règles FILTER et NAT) | ||
| + | |||
| + | <note tip> | ||
| + | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables su script.\\ | ||
| + | La commande iptables-save lancée après suppression, ajout, etc de nouvelles règles iptables seront écrasées au prochain redemarrage du système qui installera les règles du script /etc/init.d/firewall-client qui auraient été laissées en l'état. | ||
| + | </note> | ||
| <code bash firewall-client.sh> | <code bash firewall-client.sh> | ||
| Ligne 657: | Ligne 695: | ||
| ;; | ;; | ||
| 'status') | 'status') | ||
| - | /sbin/iptables -L | + | /sbin/iptables -L -n --line-numbers |
| /sbin/iptables -t nat -L | /sbin/iptables -t nat -L | ||
| RETVAL=$? | RETVAL=$? | ||
| Ligne 683: | Ligne 721: | ||
| <code root> | <code root> | ||
| - | chmod +x /etc/init.d/firewall-client.sh | + | chmod 0755 /etc/init.d/firewall-client.sh |
| - | chmod 755 /etc/init.d/firewall-client.sh | + | chown root:root /etc/init.d/firewall-client.sh |
| </code> | </code> | ||
| Ligne 691: | Ligne 729: | ||
| <code root>update-rc.d firewall-client.sh defaults</code> | <code root>update-rc.d firewall-client.sh defaults</code> | ||
| - | Et si tout c'est bien passé, au prochain redémarrage : | + | ===Et si tout c'est bien passé=== |
| + | Au prochain redémarrage : | ||
| + | * Le pare-feu se met en place pendant le démarrage du système | ||
| + | <code>set up firewall-client .........> [OK] | ||
| + | iptables-save > /etc/firewall-client .........> [OK]</code> | ||
| + | |||
| + | * On peut le vérifier : | ||
| <code root>iptables -L -n --line-numbers</code> | <code root>iptables -L -n --line-numbers</code> | ||
| - | tout est là ! 8-) | + | Ou (plus complet) : |
| + | |||
| + | <code root>/etc/init.d/firewall-client.sh status</code> | ||
| + | |||
| + | Tout est là ! 8-) | ||
| <note tip> | <note tip> | ||
