Scribd Logo
Importer

Bienvenue sur Scribd !

  • 63 vues

    Partie9-Implémenter Le System Pare-Feu

    Transféré par

    Noühailã Faghil
    Le document décrit comment configurer un pare-feu avec iptables sous Linux. Iptables permet de filtrer, traduire les adresses et ports, et effectuer d'autres opérations réseau. Il explique comment ajouter, modifier et supprimer des règles avec des commandes comme -A, -D, -L, et comment définir des politiques par défaut.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Partie9-Implémenter Le System Pare-Feu

    Transféré par

    Noühailã Faghil
    63 vues10 pages
    Le document décrit comment configurer un pare-feu avec iptables sous Linux. Iptables permet de filtrer, traduire les adresses et ports, et effectuer d'autres opérations réseau. Il explique comment ajouter, modifier et supprimer des règles avec des commandes comme -A, -D, -L, et comment définir des politiques par défaut.

    Description originale:

    pare feu

    Titre original

    Partie9-Implémenter Le System Pare-feu

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PPTX, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Le document décrit comment configurer un pare-feu avec iptables sous Linux. Iptables permet de filtrer, traduire les adresses et ports, et effectuer d'autres opérations réseau. Il explique comment ajouter, modifier et supprimer des règles avec des commandes comme -A, -D, -L, et comment définir des politiques par défaut.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    63 vues10 pages

    Partie9-Implémenter Le System Pare-Feu

    Transféré par

    Noühailã Faghil
    Le document décrit comment configurer un pare-feu avec iptables sous Linux. Iptables permet de filtrer, traduire les adresses et ports, et effectuer d'autres opérations réseau. Il explique comment ajouter, modifier et supprimer des règles avec des commandes comme -A, -D, -L, et comment définir des politiques par défaut.

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PPTX, PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pptx, pdf ou txt
    Vous êtes sur la page 1sur 10

    Implémenter le system pare-feu

    iptables
    Filtrage

    • la gestion des paquets réseau dans Linux est assurée par Netfilter dont la
    configuration se fait à travers la commande iptables.
    • iptables est une solution complète de pare-feu. elle permet de faire du filtrage, de la
    translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses.
    • La gestion des paquet dans netfilter se fait à travers trois tables :
    – La table filter : cette table contient généralement l’ensemble des règles pour le
    filtrage de paquets.
    – La table nat : cette table permet de modifier l’adresse des paquets qui entrent
    depuis l’extérieur ou ceux qui sortent à l’extérieur (Network Address Translation).
    – La table mangle : contient les règles pour la modification de paquets
    Filtrage
    • Chacune de ces trois tables prévoit à son tour une série de chaînes (liste de
    règles).
    o Table filter : INPUT, FORWARD et OUTPUT
    – INPUT : pour les paquets entrant
    – FORWARD : pour les paquets passant par le pare-feu
    – OUTPUT : pour les paquets sortants
    o Table nat : PREROUTING, INPUT, OUTPUT et POSTROUTING

    o Table mangle : PREROUTING, INPUT, FORWARD, OUTPUT et POSTROUTING

    • L’option -t permet d’indiquer la table pour laquelle on souhaite définir des règles.
    Si l’on omet cette option, c’est automatiquement la table filter qui est
    sélectionnée.
    Configuration : ajout ou modification de
    règles
    • -A : permet d’ajouter une règle à la fin de la chaîne sélectionnée.

    • -D : Permet de supprimer une règle. On peut l'utiliser de 2 manières, soit


    en spécifiant le numéro de la règle a supprimer, soit en spécifiant la règle
    à retirer.
    • -L : Permet d'afficher les règles.

    • -F : Permet de vider toutes les règles d'une chaîne.

    • -R : Permet de remplacer la chaîne spécifiée.


    • -I : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne.
    Critères de base
    • -p : Spécifier un protocole : tcp, udp, icmp, all (tous)
    • -s : Spécifier une adresse source à matcher
    • -d : Spécifier une adresse destination
    • -i : Spécifier une interface d'entrée.
    • -o : Spécifier une interface de sortie
    • --sport : Spécifier le port source
    • --dport : Spécifier le port destination
    • --icmp-type : Spécifier un type de paquet icmp
    • --state : Permet de spécifier l'état du paquet :
    o ESTABLISHED : paquet associé à une connexion déjà établie
    o NEW : paquet demandant une nouvelle connexion
    o INVALID : paquet associé à une connexion inconnue
    • -j : elle indique ce qu’il faut faire si le paquet correspond à la règle.
    o DROP : la transmission du paquet est refusée, sans message d’erreur.
    o REJECT : la transmission du paquet est refusée, avec un message d’erreur.
    o ACCEPT : le paquet est transmis.
    Exemples

    • L’option -L (ou --list) permet d’afficher l’état du pare-feu. Sans autre option, elle

    affiche les règles de la table filter.


    Exemple
    • Ajout de règles

    iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP

    iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT

    iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT

    iptables -A OUTPUT -p icmp -o eth0 -j DROP

    iptables -A INPUT -p tcp --sport 80 -j ACCEPT


    iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
    • insertion et remplacement de règles

    iptables -I INPUT 1 --dport 80 -j ACCEPT

    Iptables -R INPUT 1 -s 192.168.1.1 –j drop


    • Suppression de règles

    iptables -D INPUT --dport 80 -j DROP


    iptables -D INPUT 1
    Exemple
    • Pour accepter tout ce qui se passe sur le réseau local 192.168.1.0 :

    iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT


    iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT

    • Pour accepter les résolutions de nom (ie: le dns) :

    iptables -A INPUT -i eth0 -p udp -sport 53 -j ACCEPT


    iptables -A OUTPUT -o eth0 –p udp -dport 53 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp -sport 53 -j ACCEPT
    iptables -A OUTPUT -o eth0 -p tcp -dport 53 -j ACCEPT

    • Pour accepter le traffic web :

    iptables -A INPUT -i eth0 -p tcp -sport 80 -m state --state ESTABLISHED -j ACCEPT


    iptables -A OUTPUT -o eth0 -p tcp -dport 80 -m state --state NEW,ESTABLISHED –j ACCEPT
    Politique par défaut
    • Fonctionnement de base
    o Lorsqu’un paquet IP rencontre une chaîne de règles dans son cheminement, les règles
    en question sont vérifiées l’une après l’autre.
    o Dès qu’une règle s’applique à un paquet, l’action prévue dans la règle est effectuée :
    transmettre le paquet, le supprimer ou le renvoyer au destinataire.
    o Lorsqu’aucune des règles ne peut s’appliquer pour le paquet, c’est la politique par
    défaut qui entre en vigueur. Là encore, on peut se retrouver avec les trois cas de figure :
    transmettre, supprimer, rejeter.
    • La configuration d’un pare-feu consiste donc à définir la politique par défaut ainsi qu’une
    série de règles pour chacune des chaînes de filtres essentielles.
    • L’option -P (ou --policy) permet de définir la politique par défaut. Par exemple on peut
    bloquer les connexions entrantes.
    Contrôle du service IPTables

    • Démarrage et arrêt du service iptables

    Service iptables start|stop |restart|status

    Chkconfig --level 345 iptables on

    • Sauvegarde et restauration de règles iptables

    Service iptables save

    Les règles sont stockées dans le fichier /etc/sysconfig/iptables et sont

    appliquées dès que le service est lancé ou redémarré, y compris lorsque

    l'ordinateur est redémarré.

    Vous aimerez peut-être aussi