Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [11/11/2014 07:53] Hypathie [Récapitulatif, commandes, options, syntaxe] |
doc:reseau:iptables-pare-feu-pour-un-client [25/10/2015 13:26] milou [Introduction] |
||
|---|---|---|---|
| Ligne 4: | Ligne 4: | ||
| * Niveau requis : {{tag> avisé}} | * Niveau requis : {{tag> avisé}} | ||
| * Commentaires : //Contexte d'utilisation du sujet du tuto. // | * Commentaires : //Contexte d'utilisation du sujet du tuto. // | ||
| - | * Suivi : {{à-placer}} | + | * Suivi : {{tag>à-tester}} |
| * Création par [[user>Hypathie]] 08/10/2014 | * Création par [[user>Hypathie]] 08/10/2014 | ||
| * Testé par <...> le <...> | * Testé par <...> le <...> | ||
| Ligne 53: | Ligne 53: | ||
| **SSL/https** = UDP 443((voir samba))\\ | **SSL/https** = UDP 443((voir samba))\\ | ||
| **[[doc:reseau:dns|DNS]]** = UDP = 53\\ | **[[doc:reseau:dns|DNS]]** = UDP = 53\\ | ||
| - | **[[atelier:chantier:dhcp|DHCP]]** = UDP = 67 et 68\\ | + | **[[doc:reseau:dhcp|DHCP]]** = UDP = 67 et 68\\ |
| **[[doc:reseau:samba|SAMBA]]** = 137-139 et 445 (voir ci-dessous)\\ | **[[doc:reseau:samba|SAMBA]]** = 137-139 et 445 (voir ci-dessous)\\ | ||
| **NETBIOS** = 137-139\\ | **NETBIOS** = 137-139\\ | ||
| Ligne 301: | Ligne 301: | ||
| RELATED,ESTABLISHED -j ACCEPT | RELATED,ESTABLISHED -j ACCEPT | ||
| </code> | </code> | ||
| + | |||
| + | ===Pour IMAP et SMTP (utilisation de messagerie icedove) === | ||
| + | <code root>iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| + | |||
| + | iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT </code> | ||
| + | |||
| + | Pour la liste des ports selon les serveurs de messagerie utilisés voir : [[https://www.arclab.com/en/amlc/list-of-smtp-and-imap-servers-mailserver-list.html|list of smtp and imap servers mailserver]] | ||
| ===Pour installer une imprimante partagée === | ===Pour installer une imprimante partagée === | ||
| Ligne 584: | Ligne 591: | ||
| Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | ||
| - | * Ce script permettra un rappel des possibilités : | + | * Ce script permettra : |
| <code root>/etc/init.d/firewall-client.sh</code> | <code root>/etc/init.d/firewall-client.sh</code> | ||
| Ligne 593: | Ligne 600: | ||
| * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | * Avec "restart" pour permettre de remettre en place toutes les règles (via le fichier de sauvegarde d'iptables-restore) | ||
| - | * Avec "start" pour relancer toutes les règles avec le script lui-même et les re-sauvegarder | + | * Avec "start" pour relancer toutes les règles avec le script lui-même et les sauvegarder |
| * Avec "status" pour l'affichage des règles FILTER et NAT) | * Avec "status" pour l'affichage des règles FILTER et NAT) | ||
| <note tip> | <note tip> | ||
| - | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables su script.\\ | + | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables du script.\\ |
| - | La commande iptables-save lancée après suppression, ajout, etc de nouvelles règles iptables seront écrasées au prochain redemarrage du système qui installera les règles du script /etc/init.d/firewall-client qui auraient été laissées en l'état. | + | |
| + | Pour ce faire :\\ | ||
| + | |||
| + | **''update-rc.d -f firewall-client.sh remove''** | ||
| + | |||
| + | **''vim /etc/init.d/firewall-client.sh''** | ||
| + | |||
| + | -> On modifie ce qu'on veut | ||
| + | |||
| + | **''update-rc.d -f firewall-client.sh default''** | ||
| + | |||
| + | Si l'on n'inscrit pas toute modification dans /etc/init.d/firewall-client.sh ainsi qu'une réinitialisation de ipdate-rc, comme ci-dessus, la simple commande iptables-save lancée après toutes modifications de règles iptables seraient écrasées au prochain redémarrage du système qui ré-installera les règles du script /etc/init.d/firewall-client laissées en l'état. | ||
| </note> | </note> | ||
| Ligne 642: | Ligne 660: | ||
| /sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT | /sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT | ||
| /sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | /sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT | ||
| + | #Allow mailing protocols (IMAP and SMTP) | ||
| + | /sbin/iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
| + | /sbin/iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | ||
| #Allow cups | #Allow cups | ||
| iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT | ||
| Ligne 733: | Ligne 754: | ||
| * Faire en sorte qu'init le prenne en compte à chaque redémarrage | * Faire en sorte qu'init le prenne en compte à chaque redémarrage | ||
| + | |||
| + | <code root>update-rc.d firewall-client.sh defaults</code> | ||
| + | |||
| + | * Pour démarrer : | ||
| <code root>update-rc.d firewall-client.sh defaults</code> | <code root>update-rc.d firewall-client.sh defaults</code> | ||
| ===Et si tout c'est bien passé=== | ===Et si tout c'est bien passé=== | ||
| - | Au prochain redémarrage : | + | Au prochain redémarrage, pendant la mise en route du système : |
| * Le pare-feu se met en place pendant le démarrage du système | * Le pare-feu se met en place pendant le démarrage du système | ||
| <code>set up firewall-client .........> [OK] | <code>set up firewall-client .........> [OK] | ||
| Ligne 766: | Ligne 791: | ||
| Et voilà c'est déjà fini ;-) | Et voilà c'est déjà fini ;-) | ||
| - | **Prochain n° sur iptables : "[[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&|un pare-feu pour une passerelle Debian]]".** | + | **Prochain n° sur iptables : "[[doc:reseau:iptables-pare-feu-pour-une-passerelle|un pare-feu pour une passerelle Debian]]".** |
| =====Récapitulatif, commandes, options, syntaxe ===== | =====Récapitulatif, commandes, options, syntaxe ===== | ||
