Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-un-client [07/11/2014 09:11] Hypathie [Pare-feu pour une station (client)] |
doc:reseau:iptables-pare-feu-pour-un-client [07/11/2014 10:40] Hypathie [Pare-feu pour une station (client)] |
||
---|---|---|---|
Ligne 542: | Ligne 542: | ||
On va installer la commande iptables-restore avant que les interfaces ne soient chargés via le fichier /etc/network/interfaces.\\ | On va installer la commande iptables-restore avant que les interfaces ne soient chargés via le fichier /etc/network/interfaces.\\ | ||
- | L'avantage de cette méthode est la possibilité de créer des règles personnalisées pour chaque interface. Si les règles sont indépendantes des interfaces, on place la commande iptables-restore en pre-up de la boucle locale. | + | * L'avantage de cette méthode : est la possibilité de créer des règles personnalisées pour chaque interface. |
+ | Si les règles sont indépendantes des interfaces, on place la commande iptables-restore en pre-up de la boucle locale. | ||
<code root>vim /etc/network/interfaces</code> | <code root>vim /etc/network/interfaces</code> | ||
Ligne 555: | Ligne 556: | ||
On ne restera plus qu'à ajouter ''pre-up iptables-restore < /etc/iptables-wifi'' avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà... | On ne restera plus qu'à ajouter ''pre-up iptables-restore < /etc/iptables-wifi'' avant la configuration de l'interface wlan dans /etc/network/interfaces sans avoir à modifier ce qui fonctionnait déjà... | ||
+ | |||
+ | * Une grande facilité de modification des règles du pare-feu : | ||
+ | Si pour une raison ou une autre il est nécessaire d'ajouter une règle au pare-feu, ou d'en supprimer une pour la modifier, on peut utiliser la commande iptables de suppression : | ||
+ | |||
+ | Par exemple : | ||
+ | Lister les règles avec un numéro de ligne : | ||
+ | |||
+ | iptables -L INPUT -n --line-numbers | ||
+ | |||
+ | Supprimer une ligne particulière (avec le numéro de la colonne de gauche) : | ||
+ | |||
+ | iptables -D INPUT numeroDeLaLigneASupprimer | ||
+ | |||
+ | Dans ce cas pour sauvegarder les nouvelles règles il n'y a qu'à relancer : | ||
+ | |||
+ | iptables-save > /etc/même_nom_de_fichier_que_celui_modifier | ||
+ | |||
+ | Ainsi cela évite de modifier un quelconque fichier, et l'on peut se servir de toutes les commandes fournies par sa distribution. | ||
===Pour les fadas du "scripting" shell=== | ===Pour les fadas du "scripting" shell=== | ||
+ | Le script suivant permettra de mettre en place le pare-feu à chaque démarrage du système.\\ | ||
+ | Donc c'est soit la méthode de sauvegarde des règles iptables précédente, soit celle-ci.\\ | ||
+ | Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | ||
+ | * Ce script permettra un rappel des possibilités : | ||
+ | <code root>/etc/init.d/firewall-client.sh</code> | ||
+ | |||
+ | Usage: /etc/init.d/firewall-client.sh { start | stop | restart | status } | ||
+ | |||
+ | * Par exemple pour supprimer toutes les règles de toutes les tables : | ||
+ | <code root>/etc/init.d/firewall-client.sh stop</code> | ||
+ | |||
+ | * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | ||
+ | * Avec "start" pour relancer toutes les règles avec le script lui-même et les re-sauvegarder | ||
+ | * Avec "status" pour l'affichage des règles FILTER et NAT) | ||
+ | |||
+ | <note tip> | ||
+ | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables su script.\\ | ||
+ | La commande iptables-save lancée après suppression, ajout, etc de nouvelles règles iptables seront écrasées au prochain redemarrage du système qui installera les règles du script /etc/init.d/firewall-client qui auraient été laissées en l'état. | ||
+ | </note> | ||
<code bash firewall-client.sh> | <code bash firewall-client.sh> | ||
Ligne 657: | Ligne 695: | ||
;; | ;; | ||
'status') | 'status') | ||
- | /sbin/iptables -L | + | /sbin/iptables -L -n --line-numbers |
/sbin/iptables -t nat -L | /sbin/iptables -t nat -L | ||
RETVAL=$? | RETVAL=$? | ||
Ligne 683: | Ligne 721: | ||
<code root> | <code root> | ||
- | chmod +x /etc/init.d/firewall-client.sh | + | chmod 0755 /etc/init.d/firewall-client.sh |
- | chmod 755 /etc/init.d/firewall-client.sh | + | chown root:root /etc/init.d/firewall-client.sh |
</code> | </code> | ||
Ligne 691: | Ligne 729: | ||
<code root>update-rc.d firewall-client.sh defaults</code> | <code root>update-rc.d firewall-client.sh defaults</code> | ||
- | Et si tout c'est bien passé, au prochain redémarrage : | + | ===Et si tout c'est bien passé=== |
+ | Au prochain redémarrage : | ||
+ | * Le pare-feu se met en place pendant le démarrage du système | ||
+ | <code>set up firewall-client .........> [OK] | ||
+ | iptables-save > /etc/firewall-client .........> [OK]</code> | ||
+ | |||
+ | * On peut le vérifier : | ||
<code root>iptables -L -n --line-numbers</code> | <code root>iptables -L -n --line-numbers</code> | ||
- | tout est là ! 8-) | + | Ou (plus complet) : |
+ | |||
+ | <code root>/etc/init.d/firewall-client.sh status</code> | ||
+ | |||
+ | Tout est là ! 8-) | ||
<note tip> | <note tip> |