Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-un-client [11/11/2014 07:48] Hypathie [Sauvegarder ses règles] |
doc:reseau:iptables-pare-feu-pour-un-client [22/02/2015 11:08] Hypathie [Sauvegarder ses règles] |
||
---|---|---|---|
Ligne 4: | Ligne 4: | ||
* Niveau requis : {{tag> avisé}} | * Niveau requis : {{tag> avisé}} | ||
* Commentaires : //Contexte d'utilisation du sujet du tuto. // | * Commentaires : //Contexte d'utilisation du sujet du tuto. // | ||
- | * Suivi : {{à-placer}} | + | * Suivi : {{tag>à-tester}} |
* Création par [[user>Hypathie]] 08/10/2014 | * Création par [[user>Hypathie]] 08/10/2014 | ||
* Testé par <...> le <...> | * Testé par <...> le <...> | ||
Ligne 301: | Ligne 301: | ||
RELATED,ESTABLISHED -j ACCEPT | RELATED,ESTABLISHED -j ACCEPT | ||
</code> | </code> | ||
+ | |||
+ | ===Pour IMAP et SMTP (utilisation de messagerie icedove) === | ||
+ | <code root>iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
+ | |||
+ | iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT </code> | ||
+ | |||
+ | Pour la liste des ports selon les serveurs de messagerie utilisés voir : [[https://www.arclab.com/en/amlc/list-of-smtp-and-imap-servers-mailserver-list.html|list of smtp and imap servers mailserver]] | ||
===Pour installer une imprimante partagée === | ===Pour installer une imprimante partagée === | ||
Ligne 584: | Ligne 591: | ||
Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | ||
- | * Ce script permettra un rappel des possibilités : | + | * Ce script permettra : |
<code root>/etc/init.d/firewall-client.sh</code> | <code root>/etc/init.d/firewall-client.sh</code> | ||
Ligne 593: | Ligne 600: | ||
* Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | ||
- | * Avec "start" pour relancer toutes les règles avec le script lui-même et les re-sauvegarder | + | * Avec "start" pour relancer toutes les règles avec le script lui-même et les sauvegarder |
* Avec "status" pour l'affichage des règles FILTER et NAT) | * Avec "status" pour l'affichage des règles FILTER et NAT) | ||
<note tip> | <note tip> | ||
- | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables su script.\\ | + | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables du script.\\ |
- | La commande iptables-save lancée après suppression, ajout, etc de nouvelles règles iptables seront écrasées au prochain redemarrage du système qui installera les règles du script /etc/init.d/firewall-client qui auraient été laissées en l'état. | + | |
+ | Pour ce faire :\\ | ||
+ | |||
+ | **''update-rc.d -f firewall-client.sh remove''** | ||
+ | |||
+ | **''vim /etc/init.d/firewall-client.sh''** | ||
+ | |||
+ | -> On modifie ce qu'on veut | ||
+ | |||
+ | **''update-rc.d -f firewall-client.sh default''** | ||
+ | |||
+ | Si l'on n'inscrit pas toute modification dans /etc/init.d/firewall-client.sh ainsi qu'une réinitialisation de ipdate-rc, comme ci-dessus, la simple commande iptables-save lancée après toutes modifications de règles iptables seraient écrasées au prochain redémarrage du système qui ré-installera les règles du script /etc/init.d/firewall-client laissées en l'état. | ||
</note> | </note> | ||
Ligne 642: | Ligne 660: | ||
/sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT | /sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT | ||
/sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | /sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | ||
+ | #Allow mailing protocols (IMAP and SMTP) | ||
+ | /sbin/iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
+ | /sbin/iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | ||
#Allow cups | #Allow cups | ||
iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | ||
Ligne 733: | Ligne 754: | ||
* Faire en sorte qu'init le prenne en compte à chaque redémarrage | * Faire en sorte qu'init le prenne en compte à chaque redémarrage | ||
+ | |||
+ | <code root>update-rc.d firewall-client.sh defaults</code> | ||
+ | |||
+ | * Pour démarrer : | ||
<code root>update-rc.d firewall-client.sh defaults</code> | <code root>update-rc.d firewall-client.sh defaults</code> | ||
===Et si tout c'est bien passé=== | ===Et si tout c'est bien passé=== | ||
- | Au prochain redémarrage : | + | Au prochain redémarrage, pendant la mise en route du système : |
* Le pare-feu se met en place pendant le démarrage du système | * Le pare-feu se met en place pendant le démarrage du système | ||
<code>set up firewall-client .........> [OK] | <code>set up firewall-client .........> [OK] | ||
Ligne 766: | Ligne 791: | ||
Et voilà c'est déjà fini ;-) | Et voilà c'est déjà fini ;-) | ||
- | **Prochain n° sur iptables : "[[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&|un pare-feu pour une passerelle Debian]]".** | + | **Prochain n° sur iptables : "[[doc:reseau:iptables-pare-feu-pour-une-passerelle|un pare-feu pour une passerelle Debian]]".** |
=====Récapitulatif, commandes, options, syntaxe ===== | =====Récapitulatif, commandes, options, syntaxe ===== | ||
Ligne 782: | Ligne 807: | ||
| -N chain | créer une nouvelle chaîne chain par l'usager | | | -N chain | créer une nouvelle chaîne chain par l'usager | | ||
| -X chain | effacer la chaîne chain de l'usager | | | -X chain | effacer la chaîne chain de l'usager | | ||
- | | -P chain target | définir la politique par défaut de la chaîne chain\\ où **target** est\\ soit ''ACCEPT''\\ soit ''DROP''\\ soit ''REJETC'' | | + | | -P chain target | définir la politique par défaut de la chaîne chain\\ où **target** est\\ soit ''ACCEPT''\\ soit ''DROP''\\ soit ''REJECT'' | |
| -Z <nowiki>[chain]</nowiki> | remise à zéro des compteurs dans la chaîne chain si elle est indiquée | | | -Z <nowiki>[chain]</nowiki> | remise à zéro des compteurs dans la chaîne chain si elle est indiquée | | ||