Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [07/01/2015 17:20] bendia [iptables: un pare-feu pour un client] |
doc:reseau:iptables-pare-feu-pour-un-client [01/11/2015 17:33] milou [Fonctionnement d'iptables] |
||
|---|---|---|---|
| Ligne 53: | Ligne 53: | ||
| **SSL/https** = UDP 443((voir samba))\\ | **SSL/https** = UDP 443((voir samba))\\ | ||
| **[[doc:reseau:dns|DNS]]** = UDP = 53\\ | **[[doc:reseau:dns|DNS]]** = UDP = 53\\ | ||
| - | **[[atelier:chantier:dhcp|DHCP]]** = UDP = 67 et 68\\ | + | **[[doc:reseau:dhcp|DHCP]]** = UDP = 67 et 68\\ |
| **[[doc:reseau:samba|SAMBA]]** = 137-139 et 445 (voir ci-dessous)\\ | **[[doc:reseau:samba|SAMBA]]** = 137-139 et 445 (voir ci-dessous)\\ | ||
| **NETBIOS** = 137-139\\ | **NETBIOS** = 137-139\\ | ||
| Ligne 98: | Ligne 98: | ||
| > **''-t table''** : pour demander une table en particulier((Par défaut c'est la table filter qui est listée, donc on peut aussi utiliser la commande: ''iptables -L'' pour le même résultat.)) | > **''-t table''** : pour demander une table en particulier((Par défaut c'est la table filter qui est listée, donc on peut aussi utiliser la commande: ''iptables -L'' pour le même résultat.)) | ||
| - | <code> | + | <code config retour de la commande> |
| Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
| target prot opt source destination | target prot opt source destination | ||
| Ligne 143: | Ligne 143: | ||
| Une chaîne est un ensemble de règles définies dans un **ordre précis**.\\ Pour l'instant, il n'y n'a pas de règle mais une fois le pare-feu mis en place on pourrait avoir par exemple pour les entrées ''INPUT'': | Une chaîne est un ensemble de règles définies dans un **ordre précis**.\\ Pour l'instant, il n'y n'a pas de règle mais une fois le pare-feu mis en place on pourrait avoir par exemple pour les entrées ''INPUT'': | ||
| <code root>iptables -L --line-numbers Chain INPUT</code> | <code root>iptables -L --line-numbers Chain INPUT</code> | ||
| - | <code> | + | |
| - | num target prot opt source destination | + | <code config retour de la commande>num target prot opt source destination |
| 1 ACCEPT tcp -- anywhere anywhere tcp dpt:www | 1 ACCEPT tcp -- anywhere anywhere tcp dpt:www | ||
| 2 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh | 2 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh | ||
| - | 3 ACCEPT tcp -- anywhere anywhere tcp dpt:imap2 | + | 3 ACCEPT tcp -- anywhere anywhere tcp dpt:imap2</code> |
| - | </code> | + | |
| >**Il y a bien un ordre précis** : | >**Il y a bien un ordre précis** : | ||
| >>La première règle (''1'') autorise ''ACCEPT'', le protocole ''tcp'', venant de partout ''anywhere'', allant partout ''anywhere'', et cela pour ''www'', le web (ou port 80). | >>La première règle (''1'') autorise ''ACCEPT'', le protocole ''tcp'', venant de partout ''anywhere'', allant partout ''anywhere'', et cela pour ''www'', le web (ou port 80). | ||
| + | >> | ||
| >>La seconde (''2'') pour ''ssh'' | >>La seconde (''2'') pour ''ssh'' | ||
| + | >> | ||
| >>la troisième (''3'')pour ''imap2'' | >>la troisième (''3'')pour ''imap2'' | ||
| Ligne 591: | Ligne 593: | ||
| Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | Si vous avez testé la première méthode, ne pas oublier de supprimer ou de commenté la ligne **''#post-up iptables-restore < /etc/firewall-client''** du fichier /etc/network/interfaces. | ||
| - | * Ce script permettra un rappel des possibilités : | + | * Ce script permettra : |
| <code root>/etc/init.d/firewall-client.sh</code> | <code root>/etc/init.d/firewall-client.sh</code> | ||
| Ligne 604: | Ligne 606: | ||
| <note tip> | <note tip> | ||
| - | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables su script.\\ | + | Il faut prendre conscience que si l'on souhaite modifier les règles du pare-feu, il est nécessaire après avoir effectué ses tests d'aller éditer le fichier /etc/init.d/firewall-client pour y apporter les modifications souhaitées aux commandes iptables du script.\\ |
| Pour ce faire :\\ | Pour ce faire :\\ | ||
| Ligne 754: | Ligne 756: | ||
| * Faire en sorte qu'init le prenne en compte à chaque redémarrage | * Faire en sorte qu'init le prenne en compte à chaque redémarrage | ||
| + | |||
| + | <code root>update-rc.d firewall-client.sh defaults</code> | ||
| + | |||
| + | * Pour démarrer : | ||
| <code root>update-rc.d firewall-client.sh defaults</code> | <code root>update-rc.d firewall-client.sh defaults</code> | ||
| ===Et si tout c'est bien passé=== | ===Et si tout c'est bien passé=== | ||
| - | Au prochain redémarrage : | + | Au prochain redémarrage, pendant la mise en route du système : |
| * Le pare-feu se met en place pendant le démarrage du système | * Le pare-feu se met en place pendant le démarrage du système | ||
| <code>set up firewall-client .........> [OK] | <code>set up firewall-client .........> [OK] | ||
| Ligne 787: | Ligne 793: | ||
| Et voilà c'est déjà fini ;-) | Et voilà c'est déjà fini ;-) | ||
| - | **Prochain n° sur iptables : "[[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&|un pare-feu pour une passerelle Debian]]".** | + | **Prochain n° sur iptables : "[[doc:reseau:iptables-pare-feu-pour-une-passerelle|un pare-feu pour une passerelle Debian]]".** |
| =====Récapitulatif, commandes, options, syntaxe ===== | =====Récapitulatif, commandes, options, syntaxe ===== | ||
