IT NISRO

CLUB TUTORIEL INFORMATIQUE

Administration de service IPTABLES sous Linux

Step1: verifier l installation Des packages : # rpm -qa | iptables Examinez le fichier /etc/sysconfig/iptables-config pour voir les modules chargs par le systme Configurez et testez la connexion ssh telnet ftp et apache sur le serveur . # Sur le serveur rpm -qa | grep ssh Service sshd restart chkconfig sshd --level 345 on netstat -ntl | grep 22 rpm -qa | grep telnet rpm -ivh telnet-serve-.0.17-39. Ouvrez le fichier /etc/xinetd.d/telnet et modifier la valeur disable = yes par disable = no # Sur le client tablez la connexion ssh et telnet # ssh ip_serveur # telnet ip_serveur Step2: configuration des Rgles : Visualisez la table diptables # iptables -L a) Ajoutez une rgle pour refuser la connexion ssh Iptables -A INPUT -p tcp --dport 22 -j DROP Testez la connexion ssh vers le serveur quest-ce que vous remarquez ! Connexion refuse Testez la connexion Telnet vers le serveur quest-ce que vous remarquez .. ! Connexion autorise b) Ajoutez une rgle pour accepter la connexion ssh Iptables -A INPUT -p tcp --dport 22 -j ACCEPT Testez la connexion ssh vers le serveur quest-ce que vous remarquez ! Connexion refuse c) Lister les numros des rgles cres prcdemment puis supprimer la 1er rgle

IT NISRO

CLUB TUTORIEL INFORMATIQUE

Iptables -L --line-numbers Iptables -D INPUT 1 Testez la connexion ssh vers le serveur quest-ce que vous remarquez ! Connexion autorise Testez la connexion Telnet vers le serveur quest-ce que vous remarquez .. ! Connexion autorise d) Ajouter une 2em rgle qui bloque toutes les connexions entrantes Iptables -A INPUT j DROP Iptables L --line-numbers Testez la connexion ssh vers le serveur quest-ce que vous remarquez ! Connexion autorise Testez la connexion Telnet vers le serveur quest-ce que vous remarquez .. ! Connexion refuse e) Ajoutez une rgle drop sur les connexions sortantes Iptables -A OUTPUT j DROP Iptables L Testez les connexions possibles depuis un rseau externe Ssh client (hote) A--------------- (hote)B(iptables machines)------------------(hote)C: ssh server telnet client (hote) A--------------)B(iptables machines)---------------(hote)C: telnet server

f) Supprimez toutes les rgles OUTPUT et ajoutez une rgle de refuser FORWARD Iptables -F OUTPUT Iptables -L Iptables -A FORWARD -j DROP Testez les connexions possibles depuis un rseau externe Ssh client (hote) A----------- (hote)B(iptables machines)------------(hote)C: ssh server.! Connexion refuse telnet client (hote) A--------- hote)B(iptables machines)---------(hote)C: telnet server .! Connexion refuse.

IT NISRO

CLUB TUTORIEL INFORMATIQUE

Les rgles de pare-feu avec iptables.

Le noyau Linux rpartit le trafic du pare-feu en trois groupes et applique des rgles de filtrage diffrentes chacun d'entre eux. Paquets en entre (input) - Le trafic entrant est test, l'aide des rgles d'entre du pare-feu avant d'tre accept. Paquets en sortie (output) - Le trafic sortant est test, l'aide des rgles de sortie du pare-feu, avant d'tre envoy sur le rseau. Paquets transmis (forward) - Le trafic qui doit traverser le systme Linux est contrl par les rgles forward correspondantes. Les rgles input et output sont utilises lorsque le systme fonctionne comme un hte, tandis que les rgles forward servent lorsque le systme se comporte comme un routeur. En plus des trois catgories standards de pare-feu, le noyau Linux permet la traduction d'adresses rseau (NAT : Network Address Translation) et autorise des catgories dfinies par l'utilisateur. Le noyau gre une liste de rgle ou chacune de ces catgories. Ces listes de rgles, nommes chanes, sont gres par la commande iptables. Les options de la commande iptables permettant de crer ou de supprimer des rgles dfinies par l'utilisateur, d'ajouter ou de supprimer une chane de rgles et de changer l'ordre des rgles dans les chanes, sont les suivantes : -A - Ajoute des rgles la fin d'une chane. -D - Supprime les rgles slectionnes d'une chane. -E - Renomme une chane. -F - Supprime toutes les rgles d'une chane. -I - Insre des rgles dans une chane. Un numro de rgle est dfini afin de spcifier o doit tre insre la nouvelle rgle dans la chane. Par exemple, pour insrer une rgle au dbut de la chane, attribuez-lui le numro 1. -L - Rpertorie toutes les rgles dans une chane. Si aucune chane n'est prcise, toutes les rgles de toutes les chanes sont affiches. -N - Cre une chane dfinie par l'utilisateur l'aide du nom indiqu. -P - Dfinit la stratgie par dfaut d'une chane. -R - Remplace une rgle dans une chane. -X - Supprime la chane indique dfinie par l'utilisateur. -Z - rinitialise les compteurs de parquets et d'octets zro dans toutes les chanes.

IT NISRO

CLUB TUTORIEL INFORMATIQUE

Une rgle de pare-feu se compose d'un filtre permettant de slectionner des paquets et d'une action prendre lorsqu'un paquet correspond au filtre. L'action peut-tre soit standard, soit dfinie par l'utilisateur via une chane. L'option de la ligne de commande -j cible dfinit l'action prendre. Cible reprsente soit le nom d'une action standard, soit le nom d'une rgle dfinie par l'utilisateur. Voici les mots cls cibles standards : accept - Le paquet passe dans le pare-feu. drop - Le paquet est abandonn. queue - Transmet le paquet l'espace utilisateur pour traitement. return - Dans une chane dfinie par l'utilisateur, return indique la fin du traitement et le retour la chane appelante. Dans l'une des trois chanes prdfinies du noyau, ce mot indique qu'il faut sortir de la chane et employer la stratgie par dfaut de la chane. On utilise les paramtres de la commande iptables afin de construire des filtres sur le protocole utilis, sur l'adresse source ou de destination, ou sur l'interface rseau utilise par le paquet. Voici les paramtres de la commande iptables : -p protocole - Dfinit le(s) protocole(s) auxquel(s) la rgle s'applique. Protocole peut tre une valeur numrique extraite du fichier /etc/protocols ou l'un des mots cl suivants : tcp, udp, icmp. -s adresse [/masque] - Dfinit la source du paquet sur laquelle s'applique la rgle. Adresse peut reprsenter un nom d'hte, un numro de rseau ou une adresse IP avec un masque (facultatif). --sport [port[:port]] - Dfinit le port source des paquets sur lequel s'applique la rgle. Port peut tre un nom ou un numro contenu dans le fichier /etc/services. Un intervalle de numros de ports peut tre indiqu de la manire suivante port : port. Si aucun numro de port n'est spcifi, tous les ports sont pris en compte. -d adresse [/masque] - Dfinit la destination sur laquelle s'applique la rgle. L'adresse est dfinie de la mme faon que pour la source. --dport [port[:port]]- Dfinit le port de destination sur lequel s'applique la rgle, ce qui a pour effet de filtrer tout le trafic sortant pour un port spcifi. Le port est dfini de la mme faon que pour le paquet source. --icmp-type type - Dfinit le type ICMP sur lequel s'applique la rgle. Le type peut tre n'importe quel nom ou numro de type de message ICMP. -j cible - Identifie une stratgie standard pour grer le paquet ou une chane dfinie par l'utilisateur.

IT NISRO

CLUB TUTORIEL INFORMATIQUE

-i nom - Dfinit le nom de l'interface rseau en entre sur laquelle s'applique la rgle. Seuls les paquets reus sur cette interface sont affects par cette rgle. Un nom partiel d'interface peut tre employ en plaant un + la fin de celui-ci. A titre d'exemple, eth+ correspond toutes les interfaces Ethernet dont le nom commence par eth. -o nom - Dfinit le nom de l'interface rseau en sortie sur laquelle s'applique la rgle. Seuls les paquets envoys sur cette interface sont affects par cette rgle. Le nom de l'interface est dfini de la mme manire que pour l'option -i. -f -nom - Indique que la rgle ne s'applique qu' partir du deuxime fragment des paquets fragments.