Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 16:46] Hypathie [Introduction] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 17:06] Hypathie [Un pare-feu avancé pour le routeur-debian] |
||
|---|---|---|---|
| Ligne 248: | Ligne 248: | ||
| Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | ||
| - | Ce schéma tente de mettre en valeur un pré-requis pour ces paquets qui entrent et sorte par eth0 et eth1 ne sont routés que si de façon sous-jacente, ils sont autoriser à entrer et sortir.\\ | + | Ce schéma tente de mettre en valeur un pré-requis pour ces paquets qui entrent et sortent par **eth0 et eth1** ; et qui sont routés uniquement si, de façon sous-jacente, ils sont autorisés à entrer et sortir pour chacune des deux interfaces.\\ |
| En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | ||
| Ré-préquis déterminant le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. | Ré-préquis déterminant le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. | ||
| Ligne 330: | Ligne 331: | ||
| - Interdire par défaut (DROP) la chaîne FORWARD | - Interdire par défaut (DROP) la chaîne FORWARD | ||
| - Filter ce qui passe par FORWARD | - Filter ce qui passe par FORWARD | ||
| - | - Autoriser les connexions (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. | + | - Autoriser (provisoirement) les entrées et sorties entre le <nowiki>LAN</nowiki> et le web. |
| - Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | - Autoriser les pings depuis le pare-feu vers l'internet, uniquement si ceux-ci proviennent de connexions déjà établies ou dépendantes d'une connexion en cours. | ||
| - Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | - Autoriser la réponse du ping, que ce soit depuis le réseau interne, ou de la box-machin. | ||
| - | - Et bien sûr, de pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE | + | - Et bien sûr, ne pas oublier après avoir flusher la table NAT, la commande avec MASQUERADE |
| (//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) | (//Puisque la politique par défaut de la table FILTER des chaînes INPUT et OUTPUT n'ont pas encore été modifiées, on peut déjà tester ces commandes.//) | ||
| Ligne 388: | Ligne 389: | ||
| * Pour voir ce qu'on a fait : | * Pour voir ce qu'on a fait : | ||
| - | <code root>iptables -t nat -L FORWARD -t filter</code> | + | <code root>iptables -L -t nat && iptables -L</code> |
| ====Dépendance du NAT et des chaînes FILTER sur l'interface interne (eth1)==== | ====Dépendance du NAT et des chaînes FILTER sur l'interface interne (eth1)==== | ||
| Ligne 502: | Ligne 503: | ||
| Ils proviennent de la couche 2 (Liaison de données) du modèle OSI et selon le standard, il ne devrait y avoir de paquets qui utilisent la fragmentation.\\ | Ils proviennent de la couche 2 (Liaison de données) du modèle OSI et selon le standard, il ne devrait y avoir de paquets qui utilisent la fragmentation.\\ | ||
| Lorsque cette situation se présente, nous sommes en présence d'un déni de service (DoS). | Lorsque cette situation se présente, nous sommes en présence d'un déni de service (DoS). | ||
| - | Nous allons donc essayer de réduire les risques en repérant les paquets fragmentés qui n'ont pas lieu d'être, pour les rejeter. | + | Nous allons donc essayer de réduire les risques en rejetant les paquets fragmentés qui n'ont pas lieu d'être. |
| * Créons une chaîne utilisateur : | * Créons une chaîne utilisateur : | ||
| Ligne 599: | Ligne 600: | ||
| Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | ||
| - | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la table NAT: | + | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant imcp pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)): |
| (Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | (Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | ||
