logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 11-11-2009 22:12:21

gutts
Membre
Inscription : 06-05-2009

Wiki - Documentation création pare-feu iptables

Et voilà,

Il est simple, tout le monde peut l'utiliser enfin voila quoi...
Merci de me faire un retour afin de l'améliorer

Disponible sur le wiki : c'est là

Dernière modification par martinux_qc (12-11-2009 02:23:06)

Hors ligne

#2 12-11-2009 03:10:07

martinux_qc
Anar
Lieu : Montréal (Québec)
Distrib. : Debian 11 stable
Noyau : Linux 5.10.0-8-amd64
(G)UI : XFCE 4.16
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Salut

Depuis le temps que je veux essayer de vraiment comprendre comment fonctionne le pare-feu et comment créer les règles iptables, ce tuto me donne une bonne occasion de plonger dans le sujet.

Pour commencer, j'ai une première question tout bête. Pourquoi le fichier qui contient les règles iptables est créé dans le /home de l'utilisateur. Mes lectures antérieures sur le sujet montraient que ce fichier était plutôt créé dans /etc/init.d/. Si on a plusieurs utilisateurs pour un même ordi, ne devrait-on pas placer le fichier contenant les règles dans la / plutôt que dans le /home. Même avec un seul utilisateur, comme cela concerne la protection générale du système, qu'il s'agit de l'administration, je m'attendais à le trouver à la racine.

Merci d'avance pour la réponse.
Martin

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#3 12-11-2009 09:28:41

gutts
Membre
Inscription : 06-05-2009

Re : Wiki - Documentation création pare-feu iptables

Oui bien sur, il vaut mieux mettre cela dans un répertoire système sachant que, de toute facon, le script doit être éxécuté en root (d'où la crontab root), donc accès à ton home. (mon tuto n'est ni plus ni moins qu'un exemple expliqué)
Le mettre dans /etc/init.d bof bof, j'aime pas trop cette méthode.

Cordialement,

Hors ligne

#4 13-11-2009 02:28:10

martinux_qc
Anar
Lieu : Montréal (Québec)
Distrib. : Debian 11 stable
Noyau : Linux 5.10.0-8-amd64
(G)UI : XFCE 4.16
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Merci pour la réponse. Au moment d'écrire mon message précédent je n'avais lu que le début du tuto voulant prendre le temps de bien comprendre ce qui est écrit. Je n'étais pas allé jusqu'à la section "Automatisation", d'où ma question.

Comme j'avais déjà lu sur le sujet il y a un bout de temps je ne me souviens pas de tout. Je mentionnais le /etc/init.d comme exemple dont je me rappelais (On trouve toute sorte de tuto et d'explications sur le web). Sinon, juste pour ma culture personnelle, pourrais-tu expliquer un peu pourquoi tu n'aimes pas trop cette méthode.

Merci bien
Martin

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#5 13-11-2009 12:41:27

Thuban
aka prx
Distrib. : OpenBSD
Noyau : current
(G)UI : cwm
Inscription : 09-01-2009
Site Web

Re : Wiki - Documentation création pare-feu iptables

j'ai testé, c'est plutot pas mal. Maintenant, je ne sais pas si ça protège super bien, j'ai ça avec le iptables -L !

Lothlorien:/home/xavier# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:55550

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination        

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination        
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     icmp --  anywhere             anywhere


la partie INPUT
ACCEPT     all  --  anywhere             anywhere       
indique que ça accepte les connections entrantes???

edit :  avec le fichier suivant, je ne peux pas me connecter en wifi :

#!/bin/bash
 
# Vider les tables actuelles (ou plus précisément, on vide la table filter, voir le man de iptables pour voir à quoi correspondent ces tables)
/sbin/iptables -t filter -F
# (Vider les règles personnelles )
/sbin/iptables -t filter -X
 
# Vider les règle de nattage (ou plus précisément, on vide les tables nat et mangle, voir le man de iptables pour voir à quoi correspondent ces tables)
/sbin/iptables -t nat -X
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -X
/sbin/iptables -t mangle -F
# Ne pas casser les connexions établies
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Interdire toute connexion entrante et sortante
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
# Autoriser loopback
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
#Autoriser tout en sortie
/sbin/iptables -t filter -A OUTPUT -o eth0 -j ACCEPT
#Autoriser tout en sortie
/sbin/iptables -t filter -A OUTPUT -o wlan0 -j ACCEPT
# ICMP (Ping)
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp  --dport 55550 -j ACCEPT

Dernière modification par Thuban (13-11-2009 19:11:35)

Hors ligne

#6 18-11-2009 14:34:39

gutts
Membre
Inscription : 06-05-2009

Re : Wiki - Documentation création pare-feu iptables

Pour le wifi, c'est normal, il faut autoriser les flux sur ta carte wifi (remplacer eth0 par wlan0 entre-autres).
Pour tester la solidité du parefeu, je te conseille de faire un scan de port depuis une autre machine. Moi je l'ai fais et aucun ports ouverts tongue

@+ et merci pour ton/tes retour (s)

Hors ligne

#7 25-11-2014 23:52:08

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : mise a jour toutes les semaines :amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : Wiki - Documentation création pare-feu iptables

Pourquoi le wiki a t il disparu?

[I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport ]
[ hp spectre x360 i5 ] / [ raspbery pi 1.2 ] / [ 2 fixes core 2duo de recup ]
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#8 26-11-2014 02:51:20

martinux_qc
Anar
Lieu : Montréal (Québec)
Distrib. : Debian 11 stable
Noyau : Linux 5.10.0-8-amd64
(G)UI : XFCE 4.16
Inscription : 12-10-2008

Re : Wiki - Documentation création pare-feu iptables

Pour des tutos à jour et complet, il suffit d'aller consulter les textes de Hypathie qui a produit des textes vraiment détaillés sur le sujet :
pare-feu pour un client
pare-feu pour une passerelle

Dernière modification par martinux_qc (26-11-2014 02:55:48)


"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#9 26-11-2014 07:15:05

Herbert west
Membre
Distrib. : stable 64 mise a jour regulièrement
Noyau : mise a jour toutes les semaines :amd64
(G)UI : gnome 3
Inscription : 17-05-2012

Re : Wiki - Documentation création pare-feu iptables

Ok merci l'ami
Bonne journee

[I72600k / radeonhd 6870 /asus p8p67 pro b3/syncmaster 3D Samsung 23p displayport ]
[ hp spectre x360 i5 ] / [ raspbery pi 1.2 ] / [ 2 fixes core 2duo de recup ]
" Y a t il un sous-sol dans votre appartement ? "

Hors ligne

#10 07-05-2015 18:27:45

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : Wiki - Documentation création pare-feu iptables

Toujours en chantier ? tongue

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#11 07-05-2015 18:34:48

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

il faudrait bien les relire par des personnes bien informées avant de les passer au wiki. smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#12 07-05-2015 18:37:08

milou
Membre
Lieu : Sur une autre planète....
Distrib. : Jessie - Stretch/Sid
Noyau : 3.16.0-4-amd64
(G)UI : Lxde
Inscription : 12-02-2015

Re : Wiki - Documentation création pare-feu iptables

En attente du passage d'une bonne âme.... ?

J’adorerais changer le monde, mais ils ne veulent pas me fournir le code source
Un vrai geek, c'est un mec qui croit que dans 1km, il y a 1024 mètres
Dans le doute, rebootes. Si tu te tâtes, formates.
1453651422.jpg

Hors ligne

#13 07-05-2015 18:56:55

anonyme
Invité

Re : Wiki - Documentation création pare-feu iptables

martinux_qc a écrit :

Pour des tutos à jour et complet, il suffit d'aller consulter les textes de Hypathie qui a produit des textes vraiment détaillés sur le sujet :
pare-feu pour un client
pare-feu pour une passerelle



enfin par pour tout le monde roll

pour ici le chantier est vide ?

#14 07-05-2015 19:19:46

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

pas compris la question sur le chantier ?

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#15 07-05-2015 20:42:15

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Wiki - Documentation création pare-feu iptables

Celui-ci (du #1) http://debian-facile.org/doc:reseau:iptables , devrait être dans le chantier et non placé  hmm

ceux-là :
https://debian-facile.org/doc:reseau:ip … -un-client
https://debian-facile.org/doc:reseau:ip … passerelle
sont déjà plus aboutis  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#16 07-05-2015 20:44:43

smolski
quasi...modo
Lieu : AIN
Distrib. : backports (buster) 10
Noyau : Linux 4.19.0-8-amd64
(G)UI : gnome
Inscription : 21-10-2008

Re : Wiki - Documentation création pare-feu iptables

diable diable.. mais oui ! smile

saque eud dun (patois chtimi : fonce dedans)

Hors ligne

#17 14-09-2015 20:48:57

Ir0nsh007er
Membre
Lieu : Montréal, PQ, Canada
Distrib. : Debian GNU/Linux 11 (bullseye)
Noyau : Linux 5.15.39-4-pve
(G)UI : Terminal
Inscription : 30-04-2015
Site Web

Re : Wiki - Documentation création pare-feu iptables

Rajout 2 liens passerelle et client

Ir0nsh007er (49 72 30 6E 73 68 30 30 37 65 72).  Mon CV
Noob un jour, noob toujours cool
01001001 01110010 00110000 01101110 01110011 01101000 00110000 00110000 00110111 01100101 01110010

Hors ligne

#18 22-10-2015 10:42:35

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Wiki - Documentation création pare-feu iptables

Petite (re)fonte.  smile

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

Pied de page des forums