Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 22:17] Hypathie [Détail pour les protocole TCP et UDP] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 23:30] captnfab [Détail pour les protocole TCP et UDP] |
||
---|---|---|---|
Ligne 10: | Ligne 10: | ||
* Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?pid=99819#p99819 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | * Commentaires sur le forum : [[http://debian-facile.org/viewtopic.php?pid=99819#p99819 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) | ||
- | **Nota : Au programme, description avancée de la table NAT (iptables), et des protocoles imcp et tcp (ssh, FTP ... logés) ; pour la mise en place d'un pare-feu iptables sur un système debian faisant office de routeur, muni de deux cartes ethernet. ** | + | **Nota : Au programme, description avancée de la table NAT (iptables), et des protocoles ICMP et TCP (ssh, FTP ... logés) ; pour la mise en place d'un pare-feu iptables sur un système debian faisant office de routeur, muni de deux cartes ethernet. ** |
Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | ||
Ligne 192: | Ligne 192: | ||
Pour se l'éviter, il faut un script init.d (update-rc.d)\\ | Pour se l'éviter, il faut un script init.d (update-rc.d)\\ | ||
Ne le faites pas sur la passerelle, à la limite sur l'ordinateur A.\\ | Ne le faites pas sur la passerelle, à la limite sur l'ordinateur A.\\ | ||
- | Sur la passerelle, le suivi de connexion pour le protocole imcp devrait être suffisant.\\ | + | Sur la passerelle, le suivi de connexion pour le protocole ICMP devrait être suffisant.\\ |
Et pour l'ordinateur A, grâce à la passerelle et à la maîtrise du DNAT/SNAT, on pourrait faire en sorte que l'ordinateur reçoive un ping de la passerelle quand elle reçoit un ping à destination du réseau B. | Et pour l'ordinateur A, grâce à la passerelle et à la maîtrise du DNAT/SNAT, on pourrait faire en sorte que l'ordinateur reçoive un ping de la passerelle quand elle reçoit un ping à destination du réseau B. | ||
</note> | </note> | ||
Ligne 559: | Ligne 559: | ||
* Le type ICMP 6 : Alternate Host Address | * Le type ICMP 6 : Alternate Host Address | ||
Pour modifier l'adresse hôte. | Pour modifier l'adresse hôte. | ||
- | * Type IMCP 7 : ceux non-assignés | + | * Type ICMP 7 : ceux non-assignés |
* Type ICMP 9 "Router Advertisement" : voir RFC 1256 | * Type ICMP 9 "Router Advertisement" : voir RFC 1256 | ||
- | * Type IMCP 10 "Routeur ICMP sollicitation" : voir aussi RFC 1256 | + | * Type ICMP 10 "Routeur ICMP sollicitation" : voir aussi RFC 1256 |
- | * Type IMCP 11 "ICMP Time Exceeded" : pour le temps dépassé | + | * Type ICMP 11 "ICMP Time Exceeded" : pour le temps dépassé |
<note> | <note> | ||
**codes**\\ | **codes**\\ | ||
Ligne 600: | Ligne 600: | ||
Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué. | ||
- | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant imcp pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)): | + | * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant ICMP pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)): |
(Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | (Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela. | ||
Ligne 646: | Ligne 646: | ||
====DROP sur INPUT et OUTPUT (chaîne filter) ==== | ====DROP sur INPUT et OUTPUT (chaîne filter) ==== | ||
Cette fois, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\ | Cette fois, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\ | ||
- | D'abord avec IMCP qu'on laisse maintenant entrer et sortir par INPUT et OUTPUT, comme pour ce qu'on n'a laissé passer par FORWARD.\\ Attention l'ordre des règles comptes ici. | + | D'abord avec ICMP qu'on laisse maintenant entrer et sortir par INPUT et OUTPUT, comme pour ce qu'on n'a laissé passer par FORWARD.\\ Attention l'ordre des règles comptes ici. |
On conserve ce qu'on a fait précédemment et on ajoute aux commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour un client du LAN]] les règles qui tiennent compte qu'il y a cette fois deux interfaces réseau. | On conserve ce qu'on a fait précédemment et on ajoute aux commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour un client du LAN]] les règles qui tiennent compte qu'il y a cette fois deux interfaces réseau. | ||
Ligne 725: | Ligne 725: | ||
- | # Les règles imcp pour OUTPUT et INPUT | + | # Les règles ICMP pour OUTPUT et INPUT |
#(en y intégrant celles de testées pour FORWARD) | #(en y intégrant celles de testées pour FORWARD) | ||
Ligne 904: | Ligne 904: | ||
Tenons compte de ces rappels, pour ajouter une connexion FTP et SSH loggées, et puisqu'on y est un petit filtrage supplémentaire au niveau des Flags TCP. | Tenons compte de ces rappels, pour ajouter une connexion FTP et SSH loggées, et puisqu'on y est un petit filtrage supplémentaire au niveau des Flags TCP. | ||
- | <code text firewall_gateway.sh> | + | <code bash firewall_gateway.sh> |
#!/bin/sh | #!/bin/sh | ||
### BEGIN INIT INFO | ### BEGIN INIT INFO | ||
Ligne 1007: | Ligne 1007: | ||
- | # Les règles imcp pour OUTPUT INPUT et FORWARD | + | # Les règles ICMP pour OUTPUT INPUT et FORWARD |
/sbin/iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT | /sbin/iptables -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT |