Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 16:39] Hypathie [iptables: un pare-feu pour une passerelle] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 16:52] Hypathie [Les règles du pare-feu pas à pas] |
||
---|---|---|---|
Ligne 2: | Ligne 2: | ||
* Objet : installer un pare-feu pour une passerelle | * Objet : installer un pare-feu pour une passerelle | ||
- | * Niveau requis : FIXME {{tag> avisé}} | + | * Niveau requis : {{tag> avisé}} |
* Commentaires : Fignoler le routage, installer un pare-feu sur une passerelle debian. | * Commentaires : Fignoler le routage, installer un pare-feu sur une passerelle debian. | ||
* Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | * Débutant, à savoir : [[:doc:systeme:commandes:le_debianiste_qui_papillonne|Utiliser GNU/Linux en ligne de commande, tout commence là !.]] :-) | ||
- | * Suivi : {{tag>à-placer}} | + | * Suivi : {{tag>à-tester à-placer}} |
* Création par [[user>Hypathie]] 14/10/2014 | * Création par [[user>Hypathie]] 14/10/2014 | ||
* Testé par <...> le <...> FIXME | * Testé par <...> le <...> FIXME | ||
- | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?pid=99819#p99819 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?pid=99819#p99819 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
- | **Nota : Ce wiki prend la suite de celui sur iptables; "[[atelier:chantier:iptables-pare-feu-pour-un-client#firewall-clientsh-comme-script-init|un pare-feu pour un client]]" et complète le wiki "[[atelier:chantier:dhcp|installer DHCP sur une passerelle-routeur debian]]".\\ | + | **Nota : Au programme, description avancée de la table NAT (iptables), et des protocoles imcp et tcp (ssh, FTP ... logés) ; pour la mise en place d'un pare-feu iptables sur un système debian faisant office de routeur, muni de deux cartes ethernet. ** |
- | Au programme, description avancée de la table NAT, et des protocoles imcp et tcp. ** | + | |
Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | ||
Ligne 45: | Ligne 44: | ||
- le fichier /etc/sysctl.conf a été modifié : la ligne ''net.ipv4.ip_forward=0'' est devenue ''net.ipv4.ip_forward=1''. | - le fichier /etc/sysctl.conf a été modifié : la ligne ''net.ipv4.ip_forward=0'' est devenue ''net.ipv4.ip_forward=1''. | ||
- | ===Objectif du wiki === | ||
- | Nous allons nous attacher en détail à la table NAT d'iptables.\\ | ||
- | |||
- | Et pour ce faire, nous allons nous attacher principalement à installer un pare-feu sur debian-routeur qui prendra en charge les deux cartes réseaux, c'est-à-dire qu'il permettra principalement de protéger le réseau B, tout en lui laissant la possibilité d'accéder au web; il devra aussi permettre la communication entre le réseau A et le réseau B ; ou encore permettre aux ordinateurs du réseau B d'utiliser les services ssh ; http(s) ; cups, DHCP ... mais de manière sécurisée. | ||
=====La table de routage===== | =====La table de routage===== | ||
Ligne 253: | Ligne 248: | ||
Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | ||
- | Ce schéma tente de mettre en valeur un pré-requis pour ces paquets qui entrent et sorte par eth0 et eth1 ne sont routés que si de façon sous-jacente, ils sont autoriser à entrer et sortir.\\ | + | Ce schéma tente de mettre en valeur un pré-requis pour ces paquets qui entrent et sortent par **eth0 et eth1** ; et qui sont routés uniquement si, de façon sous-jacente, ils sont autorisés à entrer et sortir pour chacune des deux interfaces.\\ |
En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | ||
Ré-préquis déterminant le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. | Ré-préquis déterminant le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. | ||
Ligne 335: | Ligne 331: | ||
- Interdire par défaut (DROP) la chaîne FORWARD | - Interdire par défaut (DROP) la chaîne FORWARD | ||
- Filter ce qui passe par FORWARD | - Filter ce qui passe par FORWARD | ||
- | - Autoriser les connexions (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. | + | - Autoriser (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. |
- Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | - Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | ||
- Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | - Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | ||
- | - Et bien sûr, de pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE | + | - Et bien sûr, ne pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE |
(//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) | (//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) |