L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:reseau:iptables-pare-feu-pour-un-client [01/11/2015 17:33]
milou [Fonctionnement d'iptables]
+++ doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 14:28]
Beta-Pictoris
@@ Ligne 125: / Ligne 125: @@
 > **La cinquième ligne ''Chain OUTPUT (policy ACCEPT)''** concerne les paquets sortants (**''OUTPUT''**).
+=== Lien utile ===
+En complément, voir ce post sur le forum :
+  * [[https://debian-facile.org/viewtopic.php?id=18221]]
 ====Quelques définitions====
@@ Ligne 209: / Ligne 213: @@
   * Voyons le résultat :
 <code root>iptables -L -n --line-numbers</code>
-<code>Chain INPUT (policy DROP)
+<code config retour de la commande>Chain INPUT (policy DROP)
 num  target     prot opt source               destination
@@ Ligne 216: / Ligne 220: @@
 Chain OUTPUT (policy DROP)
-num  target     prot opt source               destination </code>
+num  target     prot opt source               destination</code>
 ===Autoriser les échanges avec les serveurs DNS===
 <code root>
-iptables -t filter -A OUTPUT -p udp -m udp\
+iptables -t filter -A OUTPUT -p udp --dport 53 -m conntrack --ctstate NEW         -j ACCEPT
- --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
+iptables -t filter -A INPUT  -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
-iptables -t filter -A INPUT -p udp -m udp\
- --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
 </code>
-<note>
-**Signification de ces commandes** :\\
+===Signification de ces commandes===
 Autorise un paquet passant par la chaîne (OUTPUT|INPUT), par protocole de transport udp sur le port 53 (''--dport'' : port de destination | ''--sport'' : port source ), et pour udp utilisation du module "conntrack",  selon l'état de la connexion (NEW, demande de nouvelle connexion, RELATED, nouvelle demande mais en rapport avec une connexion déjà initiée et ESTABLISHED, en relation à une demande pour une connexion déjà initiée).
@@ Ligne 242: / Ligne 243: @@
   * NEW : signifie que le paquet a commencé une nouvelle connexion
   * ESTABLISHED : ce qui signifie que le paquet est associé à une connexion qui a vu les paquets dans les deux sens.
-  * RELATED : signifie que le paquet commence une nouvelle connexion, mais est associé à une connexion existante, telle qu'un transfère de données FTP, ou une erreur ICMP.
+  * RELATED : signifie que le paquet commence une nouvelle connexion (comme l'état NEW), mais est associé à une connexion existante, commencée, en général, sur un autre port ou avec un autre protocole réseau. L'état RELATED ne s'applique que pour des protocoles réseaux bien précis (amanda, ftp, h323, irc, netbios, pptp, sane, sip, tftp).
   * UNTRACKED : signifie que le paquet n'est pas suivi du tout.
   * SNAT : Un état virtuel, le paquet correspond si l'adresse source diffère la réponse de destination.
@@ Ligne 251: / Ligne 252: @@
   * CONFIRMED : Connexion est confirmée
+<note important>Depuis debian stretch, **conntrack** va étiqueter des paquets, comme étant dans l'état **RELTATED**, que pour le protocole **icmp**.(Module **nf_conntrack_ipv4** chargé automatiquement).
+Pour les autres protocoles, il faudra ajouter une règle de type **raw** pour charger le module adéquat et activer la prise en charge de l'état **RELATED**. Par exemple, pour le protocole **ftp**, coté serveur:
+<code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code>
+</note>
 Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// !
@@ Ligne 264: / Ligne 268: @@
 Pour l'espace utilisateur les états valides sont NEW, ESTABLISHED, RELATED et INVALID.
-Voir [[http://www.inetdoc.net/guides/iptables-tutorial/traversingoftables.html|la traverser des tables et des chaînes]].
+Voir [[http://www.inetdoc.net/guides/iptables-tutorial/traversingoftables.html|la traversée des tables et des chaînes]].
 [[http://www.inetdoc.net/guides/iptables-tutorial/tcpconnections.html|La machine d'état: connexion TCP]]
@@ Ligne 297: / Ligne 301: @@
 iptables -t filter -A OUTPUT -p tcp -m multiport\
  --dports 80,443,8000 -m conntrack --ctstate\
- NEW,RELATED,ESTABLISHED -j ACCEPT
+ NEW,ESTABLISHED -j ACCEPT
 iptables -t filter -A INPUT -p tcp -m multiport\
  --sports 80,443,8000 -m conntrack --ctstate\
- RELATED,ESTABLISHED -j ACCEPT
+ ESTABLISHED -j ACCEPT
 </code>
 ===Pour IMAP et SMTP (utilisation de messagerie icedove) ===
-<code root>iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
+<code root>iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state ESTABLISHED -j ACCEPT
-iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT </code>
+iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,ESTABLISHED -j ACCEPT </code>
 Pour la liste des ports selon les serveurs de messagerie utilisés voir : [[https://www.arclab.com/en/amlc/list-of-smtp-and-imap-servers-mailserver-list.html|list of smtp and imap servers mailserver]]
@@ Ligne 315: / Ligne 319: @@
 <code root>iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp\
- --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+ --dport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -s 192.168.0.22 -d 192.168.0.0/24 -p tcp\
@@ Ligne 325: / Ligne 329: @@
 <code root>iptables -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.0.22 -p tcp\
- --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+ --dport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -s 192.168.0.22 -d 192.168.1.0/24 -p tcp\
@@ Ligne 335: / Ligne 339: @@
 Par exemple :
-  iptables -A INPUT -i eth0 -s 192.168.0.22 -d 192.168.0.1 -p tcp --sport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+  iptables -A INPUT -i eth0 -s 192.168.0.22 -d 192.168.0.1 -p tcp --sport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
-  iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+  iptables -A OUTPUT -o eth0 -s 192.168.0.1 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
-Voir : [[atelier:chantier:iptables-un-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|Script d'une passerelle]]
+Voir : [[doc:reseau:iptables-pare-feu-pour-une-passerelle?&#le-script-de-la-passerelle|Script d'une passerelle]]
 </note>
@@ Ligne 347: / Ligne 351: @@
 ou
 <code root>iptables -L -n --line-numbers</code>
-<code>
-Chain INPUT (policy DROP 80 packets, 19279 bytes)
+<code config retour de la commande>Chain INPUT (policy DROP 80 packets, 19279 bytes)
  pkts bytes target  prot opt in    out   source        destination
    131 ACCEPT  udp  --  *      *    0.0.0.0/0     0.0.0.0/0   udp\
@@ Ligne 371: / Ligne 375: @@
 dports 80,443,8000 ctstate NEW,RELATED,ESTABLISHED
-  336 ACCEPT   all  --  *     lo    0.0.0.0/0     0.0.0.0/0
+  336 ACCEPT   all  --  *     lo    0.0.0.0/0     0.0.0.0/0</code>
-</code>
 ===Faire des tests ===
   * Sur l'interface lo
 <code user>ping localhost</code>
-<code>
-PING localhost (127.0.0.1) 56(84) bytes of data.
+<code config retour de la commande>PING localhost (127.0.0.1) 56(84) bytes of data.
 bytes from localhost (127.0.0.1): icmp_req=1 ttl=64 time=0.050 ms
 bytes from localhost (127.0.0.1): icmp_req=2 ttl=64 time=0.042 ms
@@ Ligne 384: / Ligne 389: @@
 --- localhost ping statistics ---
 packets transmitted, 2 received, 0% packet loss, time 999ms
-rtt min/avg/max/mdev = 0.042/0.046/0.050/0.004 ms
+rtt min/avg/max/mdev = 0.042/0.046/0.050/0.004 ms</code>
-</code>
 Ça marche 8-)
@@ Ligne 391: / Ligne 395: @@
   * Vers un autre client :
 <code user>ping 192.168.0.1</code>
-<code>
-PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
+<code config retour de la commande>PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.226 ms
 bytes from 192.168.0.1: icmp_req=2 ttl=64 time=0.209 ms
@@ Ligne 398: / Ligne 402: @@
 --- 192.168.0.1 ping statistics ---
 packets transmitted, 2 received, 0% packet loss, time 999ms
-rtt min/avg/max/mdev = 0.209/0.217/0.226/0.017 ms
+rtt min/avg/max/mdev = 0.209/0.217/0.226/0.017 ms</code>
-</code>
 Tout va bien :-D
   * Ping sur un domaine :
-<code root>ping google.fr</code>
+<code user>ping google.fr</code>
-<code>PING google.fr (173.194.40.152) 56(84) bytes of data.
+<code config retour de la commande>PING google.fr (173.194.40.152) 56(84) bytes of data.
 bytes from par10s10-in-f24.1e100.net (173.194.40.152): icmp_req=1 ttl=55 time=34.0 ms
 ^C
@@ Ligne 511: / Ligne 515: @@
 <code user>less /var/log/messages | grep OUTGOING_SSH</code>
-<code>
-<...>
+<code config retour de la commande><...>
 Oct  8 12:01:07 debian-pc1 kernel: [16793.633030] [OUTGOING_SSH] : IN=eth0 OUT= MAC=xxx..
 SRC=192.168.0.1 DST=192.168.0.22 LEN=52 TOS=0x10 PREC=0x00 TTL=64 ID=13465
  DF PROTO=TCP SPT=48542 DPT=22 WINDOW=1523 RES=0x00 ACK URGP=0
-<...>
+<...></code>
-</code>
 <code user>less /var/log/messages | grep INCOMING_SSH</code>
-<code>
-<...>
+<code config retour de la commande><...>
 Oct  8 12:01:07 debian-pc1 kernel: [16793.632822] [INCOMING_SSH] : IN= OUT=eth0
  SRC=192.168.0.22 DST=192.168.0.1 LEN=52 TOS=0x10 PREC=0x00 TTL=64
  ID=35238 DF PROTO=TCP SPT=22 DPT=48542 WINDOW=431 RES=0x00 ACK FIN URGP=0
-<...>
+<...></code>
-</code>
@@ Ligne 552: / Ligne 556: @@
 <code root>vim /etc/network/interfaces</code>
-<code>
+<file config interfaces>
 # The loopback network interface
 auto lo
 iface lo inet loopback
 post-up iptables-restore < /etc/firewall-client
-</code>
+</file>
 ===Avantages de cette méthode===
@@ Ligne 651: / Ligne 657: @@
 /sbin/iptables -P FORWARD DROP
 # Allow trafic with DNS server
-/sbin/iptables -t filter -A OUTPUT -p udp -m udp --dport 53 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -m conntrack --ctstate NEW         -j ACCEPT
-/sbin/iptables -t filter -A INPUT -p udp -m udp --sport 53 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -t filter -A INPUT  -p udp --sport 53 -m conntrack --ctstate ESTABLISHED -j ACCEPT
 #Allow trafic on internal network
 /sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
@@ Ligne 660: / Ligne 666: @@
 /sbin/iptables -A INPUT -i eth0 -p icmp -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
 #Get web
-/sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -t filter -A OUTPUT -p tcp -m multiport --dports 80,443,8000 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-/sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -t filter -A INPUT -p tcp -m multiport --sports 80,443,8000 -m conntrack --ctstate ESTABLISHED -j ACCEPT
 #Allow mailing protocols (IMAP and SMTP)
-/sbin/iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A INPUT -m multiport -p tcp --sport 25,2525,587,465,143,993,995 -m state --state ESTABLISHED -j ACCEPT
-/sbin/iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A OUTPUT -m multiport -p tcp --dport 25,2525,143,465,587,993,995 -m state --state NEW,ESTABLISHED -j ACCEPT
 #Allow cups
-iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+iptables -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
 iptables -A OUTPUT -o eth0 -s 192.168.0.22 -d 192.168.0.0/24 -p tcp --sport 631 -m state ! --state INVALID -j ACCEPT
 #Allow cups from sub-net
-/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
+/sbin/iptables -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.0.22 -p tcp --dport 631 -m state --state NEW,ESTABLISHED -j ACCEPT
 /sbin/iptables -A OUTPUT -o eth0 -s 192.168.0.22 -d 192.168.1.0/24 -p tcp --sport 631 -m state ! --state INVALID -j ACCEPT
 #Set up a user chain for ssh outgoing
@@ Ligne 751: / Ligne 757: @@
 <code root>
-chmod 0755 /etc/init.d/firewall-client.sh
+chmod 0755 /etc/init.d/firewall-client.sh</code>
-chown root:root /etc/init.d/firewall-client.sh
+<code root>chown root:root /etc/init.d/firewall-client.sh
 </code>
@@ Ligne 865: / Ligne 871: @@
   * En sortie :
-  iptables -A OUTPUT -o eth0 -s <ip_locale> -d <reseau_local/masque_de_reseau> -p <nom_du_protocole> --sport <nom_du_port> -m state --state RELATED,ESTABLISHED -j ACCEPT
+  iptables -A OUTPUT -o eth0 -s <ip_locale> -d <reseau_local/masque_de_reseau> -p <nom_du_protocole> --sport <nom_du_port> -m state --state ESTABLISHED -j ACCEPT
 > On précise que l'on accepte de laisser sortir de l'interface réseau, tout paquet dont la source est l'adresse ip correspondant à notre interface réseau, à destination de notre réseau local utilisant tel protocole, vers tel numero de port (ou service) dont l'état est 'relatif' ou 'établi' - en rapport avec la règle d'entrée.

doc/reseau/iptables-pare-feu-pour-un-client.txt · Dernière modification: 31/05/2023 20:57 par lagrenouille

Debian-facile

Différences

Pied de page des forums