Vous êtes sur la page 1sur 5

FIREWALL

Le pare-feu sutilise dans le cadre dun filtrage des connexions provenant


directement dinternet mais aussi en provenance de nimporte quel machine
connecte un mme rseau.

################################# INSTALLATION ################################

Installer le paquet suivant:


apt-get install iptables

################################ CONFIGURATION #################################

La configuration du pare-feu se fait grce a la commande "iptables" il s'agit


d'autoriser ou d'interdire

le passage de donnes en entre (INPUT) ou en sortie (OUTPUT) sur chacun des


ports

Vous pouvez consultez l'ensembles des ports actuellement ouverts par la


commande:

netstat -a

Pour afficher la configuration actuel du pare-feu:

iptables -L

Chain INPUT

: trafic entrant

Chain FORWARD : trafic redirig


Chain OUTPUT

: trafic sortant

(policy ACCEPT) : autorise par dfaut le passage de toutes les donnes


(policy DROP)

: refuse par dfaut le passage de toutes les donnes

Dans le cas de (policy ACCEPT) il autorise le passage de TOUTES les donnes dans
l'ensembles des ports
il faut donc lui ajouter des rgles de refus de ports

Dans le cas de (policy DROP) il refuse les passage de TOUTES les donnes dans
l'ensembles des ports

il faut donc lui ajouter des rgles d'autorisation de ports

################################## COMMANDES ###################################

Changer la valeur de 'policy'

d'autorisation par du refus:

iptables -P INPUT DROP


Ici dans cette exemple, les entres des donnes dans les ports sont par dfaut
fermes

Commande pour ajouter des rgles au pare-feu:

iptables -A (chain) -p (protocole) --dport (port nom ou numero) - j


(decision ACCEPT/DROP/REJECT)

-A indique ou se trouve la rgle soit en entre, en passage ou en sortie


-A INPUT
-A FORWARD
-A OUTPUT

-p nom du protocole a filtrer: ICMP, TCP, UDP ect...)

--dport nom ou numro du port


ex
--dport 22
--dport ssh

Si aucun port n'est indiqu tous les ports seront accepts

-j permet de prendre la dcision du paquet reu soit:

-j ACCEPT: on accepte le paquet


-j REJECT: on rejette le paquet
-j DROP

: on ignore le paquet

################################### EXEMPLES ###################################

Autoriser l'envoi de pages web en sortie:

iptables -A OUTPUT-p tcp --dport www -j ACCEPT


iptables -A OUTPUT-p tcp --dport 80 -j ACCEPT
Autoriser les mails en entre:

iptables -A INPUT -p tcp --dport imap2 -j ACCEPT


Utilisable pour un pare-feu d'un serveur mail afin que seul les ports icmp
soient utiliss pour protger le serveur contre des attaques par d'autres ports
qui seraient rest ouverts inutilement

Autoris les pings


:
iptables -A INPUT -p icmp -j ACCEPT

Ici la rgle est appliqu l'ensembles des ports mais uniquement pour le
protocole ICMP (pour les pings)
Bannir une adresse IP:
iptables -I INPUT -s 172.16.2.52 -j DROP

N'hsitez pas frquemment aller voir l'ensembles des rgles ajoutes au parefeu: 'iptables -L'

########################## LISTE DE QUELQUES SERVICES ##########################

_________________________________________
service

| port dcoute |

protocole

----------------------------------------ssh
|
22
|
tcp
telnet
|
23
|
tcp
HTTP,HTTPS |
80,443
|
tcp
FTP
|
20,21
|
tcp
mail/SMTP
|
25
|
tcp
mail/POP3
|
110
|
tcp
mail/IMAP
|
143
|
tcp
DNS
|
53
| tcp, udp
Ldap
|
369
|
tcp
Mysql
|
3306
| tcp, udp
-----------------------------------------############################# pare-feu DEFINITIF ###############################

Pour sauvegarder la configuration du pare-feu, rentrer cette commande:


service iptables-persistent
Si la commande ne marche pas essayer la mthode suivante:
Commencez par diter un fichier /etc/init.d/monIptables La premire ligne de ce
fichier doit tre :
#!/bin/bash
Cette ligne indique que le fichier doit tre enregistr en tant que script bash.

Le reste du fichier doit contenir les commandes iptables que vous avez gnres.

Dplacer le script iptables dans /etc/init.d


sudo mv /emplacement/du/script/iptables /etc/init.d
Rendre ce script excutable:

sudo chmod +x /etc/init.d/monIptables

Pour indiquer votre ordinateur de l'utiliser au dmarrage:

sudo update-rc.d monIptables defaults