tj - Wiki

Outils pour utilisateurs

Outils du site

Piste :
reseaux_iptables

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseaux_iptables [2010/07/17 11:00] thierryreseaux_iptables [2010/07/17 11:16] (Version actuelle) thierry
Ligne 18: Ligne 18:
 Exemple: Exemple:
   # ferm vite_1.conf   # ferm vite_1.conf
 +
 +Et hop, le firewall est en service !
 +
 +On peut ajouter "-n" pour ne pas appliquer les regles immediatement!
 +
 +Et aussi "-l" pour voir ce qui est fait:
 +  # ferm -n -l vite_1.conf
 +  # Generated by ferm 2.0.3 on Sat Jul 17 13:10:48 2003
 +  *filter
 +  :FORWARD ACCEPT [0:0]
 +  :INPUT DROP [0:0]
 +  :OUTPUT ACCEPT [0:0]
 +  -A INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
 +  -A INPUT --protocol tcp --dport http --jump ACCEPT
 +  -A INPUT --protocol tcp --dport ftp --jump ACCEPT
 +  -A INPUT --protocol tcp --dport ssh --jump ACCEPT
 +  COMMIT
 +
 +Et encore, en règles "iptables" plus classique, en ajoutant **''--slow''** :
 +  # ferm -n -l --slow vite_1.conf
 +  /sbin/iptables -t filter -P FORWARD ACCEPT
 +  /sbin/iptables -t filter -P INPUT ACCEPT
 +  /sbin/iptables -t filter -P OUTPUT ACCEPT
 +  /sbin/iptables -t filter -F
 +  /sbin/iptables -t filter -X
 +  /sbin/iptables -t filter -P INPUT DROP
 +  /sbin/iptables -t filter -A INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport http --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport ftp --jump ACCEPT
 +  /sbin/iptables -t filter -A INPUT --protocol tcp --dport ssh --jump ACCEPT
 +
 +Et enfin, l'option **''-i''** afin d'être sur de ne pas faire de betise ! 
 +  # ferm -i vite_1.conf
 +  
 +  ferm has applied the new firewall rules.
 +  Please type 'yes' to confirm:
 +
 +Si on ne tape "yes" dans les 30 secondes, ferm remet en place les règles précédentes.
  
 ==== simples ==== ==== simples ====
Ligne 33: Ligne 71:
   chain INPUT if lo ACCEPT;   chain INPUT if lo ACCEPT;
  
-Cela permet d'ouvrir *tout* les services locaux... et par exemple faire:  **''firefox http://localhost:49152 &''**+Cela permet d'ouvrir *tout* les services locaux... et par exemple faire:   
 +  firefox http://localhost:49152 &
  
 === vite_2.conf === === vite_2.conf ===
  
   # interface a autoriser   # interface a autoriser
-  @def $LAN_IF = eth0 +  @def $LAN_IF = eth0; 
 +  
   # Politique par defaut: tout fermer   # Politique par defaut: tout fermer
   chain ( INPUT OUTPUT FORWARD ) policy DROP;   chain ( INPUT OUTPUT FORWARD ) policy DROP;
 +  
   # autoriser l'interface 'lo'   # autoriser l'interface 'lo'
   chain INPUT if lo ACCEPT;   chain INPUT if lo ACCEPT;
   chain OUTPUT of lo ACCEPT;   chain OUTPUT of lo ACCEPT;
 +  
   # autoriser quelques entrées   # autoriser quelques entrées
-  chain INPUT if $LAN_IF mod state state NEW ESTABLISHED RELATED ) +  chain INPUT if $LAN_IF 
-    proto tcp dport ( http ftp ssh ) ACCEPT; +    mod state state NEW { 
-    proto udp dport ( openvpn domain ) ACCEPT; +      proto tcp dport ( http ftp ssh ) ACCEPT; 
-    proto icmp icmp-type echo-request ACCEPT;+      proto udp dport ( openvpn domain ) ACCEPT; 
 +      proto icmp icmp-type echo-request ACCEPT; 
 +    } 
 +    mod state state ( ESTABLISHED RELATED ) ACCEPT;
   }   }
      
reseaux_iptables.1279364427.txt.gz · Dernière modification : 2010/07/17 11:00 de thierry