tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
reseaux_iptables

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseaux_iptables [2010/07/17 10:33] thierryreseaux_iptables [2010/07/17 11:16] (Version actuelle) thierry
Ligne 9: Ligne 9:
 :!: ne pas oublier de charger , au préalable, le module **''ip_tables''**. :!: ne pas oublier de charger , au préalable, le module **''ip_tables''**.
  
 +
 +==== commande ====
 +
 +On va creer un fichier en composant des regles relativement lisible.
 +
 +En passant ce fichier a la moulinette de "ferm", il va y avoir creation des commandes iptables.
 +
 +Exemple:
 +  # ferm vite_1.conf
 +
 +Et hop, le firewall est en service !
 +
 +On peut ajouter "-n" pour ne pas appliquer les regles immediatement!
 +
 +Et aussi "-l" pour voir ce qui est fait:
 +  # ferm -n -l vite_1.conf
 +  # Generated by ferm 2.0.3 on Sat Jul 17 13:10:48 2003
 +  *filter
 +  :FORWARD ACCEPT [0:0]
 +  :INPUT DROP [0:0]
 +  :OUTPUT ACCEPT [0:0]
 +  -A INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
 +  -A INPUT --protocol tcp --dport http --jump ACCEPT
 +  -A INPUT --protocol tcp --dport ftp --jump ACCEPT
 +  -A INPUT --protocol tcp --dport ssh --jump ACCEPT
 +  COMMIT
 +
 +Et encore, en règles "iptables" plus classique, en ajoutant **''--slow''** :
 +  # ferm -n -l --slow vite_1.conf
 +  /sbin/iptables -t filter -P FORWARD ACCEPT
 +  /sbin/iptables -t filter -P INPUT ACCEPT
 +  /sbin/iptables -t filter -P OUTPUT ACCEPT
 +  /sbin/iptables -t filter -F
 +  /sbin/iptables -t filter -X
 +  /sbin/iptables -t filter -P INPUT DROP
 +  /sbin/iptables -t filter -A INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport http --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport ftp --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport ssh --jump ACCEPT
 +
 +Et enfin, l'option **''-i''** afin d'être sur de ne pas faire de betise ! 
 +  # ferm -i vite_1.conf
 +  
 +  ferm has applied the new firewall rules.
 +  Please type 'yes' to confirm:
 +
 +Si on ne tape "yes" dans les 30 secondes, ferm remet en place les règles précédentes.
  
 ==== simples ==== ==== simples ====
  
-=== vite 1 ===+=== vite_1.conf ===
  
   chain INPUT {   chain INPUT {
     policy DROP;     policy DROP;
-    proto tcp dport (http ftp ssh)  ACCEPT;+    mod state state (RELATED ESTABLISHED) ACCEPT; 
 +    proto tcp dport (http ftp ssh) ACCEPT;
   }   }
  
 +=== vite_1b.conf ===
 +Ajouter simplement:
 +  chain INPUT if lo ACCEPT;
  
-=== vite 2 ===+Cela permet d'ouvrir *tout* les services locaux... et par exemple faire:   
 +  firefox http://localhost:49152 &
  
-  # interface a autoriser +=== vite_2.conf ===
-  @def $LAN_IF eth0+
  
 +  # interface a autoriser
 +  @def $LAN_IF = eth0;
 +  
   # Politique par defaut: tout fermer   # Politique par defaut: tout fermer
   chain ( INPUT OUTPUT FORWARD ) policy DROP;   chain ( INPUT OUTPUT FORWARD ) policy DROP;
 +  
   # autoriser l'interface 'lo'   # autoriser l'interface 'lo'
   chain INPUT if lo ACCEPT;   chain INPUT if lo ACCEPT;
   chain OUTPUT of lo ACCEPT;   chain OUTPUT of lo ACCEPT;
 +  
   # autoriser quelques entrées   # autoriser quelques entrées
-  chain INPUT if $LAN_IF mod state state NEW ESTABLISHED RELATED ) +  chain INPUT if $LAN_IF 
-    proto tcp dport ( http ftp ssh ) ACCEPT; +    mod state state NEW { 
-    proto udp dport ( openvpn domain ) ACCEPT; +      proto tcp dport ( http ftp ssh ) ACCEPT; 
-    proto icmp icmp-type echo-request ACCEPT;+      proto udp dport ( openvpn domain ) ACCEPT; 
 +      proto icmp icmp-type echo-request ACCEPT; 
 +    } 
 +    mod state state ( ESTABLISHED RELATED ) ACCEPT;
   }   }
      
reseaux_iptables.1279362818.txt.gz · Dernière modification : 2010/07/17 10:33 de thierry