mercredi 14 décembre 2011

Exemple de règle basique - pare-feu iptables


Voici quelques règles pour tester rapidement netfilter/iptables:


Pour visualiser les règles d'une machine:

mouflon# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


Par défaut, tout le traffic passe.

Mettons en place quelques règles (elles seront dans le  fichier /home/test//firewall.conf):

mouflon:~# vi /home/test/firewall.conf

#d'abord, on initialise tout.
/sbin/iptables -F OUTPUT
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD

#On place la politique par défaut (tout passe en sortie, rien en entrée et rien pour le transfert)
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT ACCEPT

#on accepte tout sur l'interface boucle locale
/sbin/iptables -A INPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT

#on accepte les paquets icmp (ping entre autre), ssh et https à partir d'une station uniquement (192.168.200.1)
/sbin/iptables -A INPUT -p icmp -s 192.168.200.1 -j ACCEPT
/sbin/iptables -A INPUT -p tcp  -s 192.168.200.1 --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp  -s 192.168.200.1 --dport 443 -j ACCEPT

#on autorise le retour des paquets pour les connexions déjà initiées
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#on log ce qui ne passe pas dans /var/log/messages.
/sbin/iptables -A INPUT -j LOG


Ensuite, on enregistre le fichier, on met les droits pour l'exécution puis on exécute.

mouflon:~# chmod a+x /home/test/firewall.conf
mouflon:~# /home/test/firewall.conf


Puis on vérifie l'activation des règles du pare-feu.

mouflon# iptables -L
Chain INPUT (policy DROP)
target     prot opt source                           destination
ACCEPT     all  --  0.0.0.0/0                       0.0.0.0/0
ACCEPT     icmp --  192.168.200.1         0.0.0.0/0
ACCEPT     tcp  --  192.168.200.1            0.0.0.0/0           tcp dpt:22
ACCEPT     tcp  --  192.168.200.1            0.0.0.0/0           tcp dpt:443
ACCEPT     all  --  0.0.0.0/0                       0.0.0.0/0           state RELATED,ESTABLISHED
LOG             all  --  0.0.0.0/0                       0.0.0.0/0           LOG flags 0 level 4
Chain FORWARD (policy DROP)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
-
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)

Comment ajouter une route statique sur une distribution Linux Ubuntu

Pour ajouter une route statique au démarrage d'Ubuntu, voici le fichier à modifier. Dans l'exemple on ajoute une route pour joindre ...