ISTA NTIC

OFPPT
BENI MELLAL

Filière : Techniques des Réseaux informatiques

Module : Administration Réseau sous Linux

PARE-FEU SOUS LINUX

(CENTOS7)

Formateur : M.ISSAKHI
Pare-feu de linux
• Netfilter est un pare-feu complet fonctionnant sous Linux (noyaux 2.4 et 2.6)
• Remplace ipchains qui fonctionnait sur les noyaux 2.2
• Netfilter se dispose de trois tables :
• FILTER : c'est la table par défaut, elle filtre les trois trafics principaux.
• NAT : c'est la table dédiée à la redirection de paquets.
• MANGLE: c'est la table utilisée pour les services réseaux additionnels.
• Netfilter est administré par la commande iptables

ISTA NTIC BENI MELLAL 2015 2

Pare-feu de linux

• Table FILTER
• La table FILTER contient toutes les règles de filtrage
• INPUT: pour les paquets entrants

• OUPUT: pour les paquets sortants.

• FORWARD: pour les paquets traversants le firewall.( cas d’un routeur )

• C'est la table par défaut lorsqu'on ne spécifie aucune table.

ISTA NTIC BENI MELLAL 2015 3

FILTER
• Lorsqu'un paquet correspond au motif de reconnaissance d'une règle, une
décision est prise.
• ACCEPT
• permet d'accepter un paquet si la règle est vérifiée..
• REJECT
• permet de rejeter le paquet avec un retour d'erreur à l'expéditeur si la règle est vérifiée.
• -reject-with : Spécifier le type d'erreur à retourner. (icmp-net-unreachable, icmp-host-
unreachable, icmp-portunreachable, icmp-proto-unreachab le, icmp-net-prohibited,
icmp-host-prohibited).
• DROP
• permet de rejeter le paquet sans retour d'erreur à l'expéditeur si la règle est vérifiée.

ISTA NTIC BENI MELLAL 2015 4

FILTER
• Enregistrement et chargement de règles

Toutes les règles que l'on définit avec iptables sont

stockées en mémoire. Si l'on éteint ou redémarre la
machine on perd les règles.

Sauvegarder les règles iptables-save > <fichier>

Exemple
root@localhost# iptables-save > fichier.bak

Charger les règles iptables-restore <fichier>

Exemple
root@localhost # iptables-restore < fichier.bak
Par défaut vers /etc/sysconfig/iptables
ISTA NTIC BENI MELLAL 2015 5
FILTER
• Principales commandes de iptables
• Lister les règles : -L
root@localhost# iptables –L
# Affiche toutes les règles de toutes les chaînes de la table FIlTER.
root@localhost# iptables -L OUTPUT
# Affiche toutes les règles de la chaîne OUTPUT.
• Ajouter une règle: - A
root@localhost# iptables -A OUTPUT -j DROP
# Ajoute la règle -j DROP à la fin de la chaîne OUTPUT.
• Insérer une règle au début :- I
root@localhost# iptables -I OUTPUT 1 -j DROP
# Insère la règle -j DROP avant la règle 1

ISTA NTIC BENI MELLAL 2015 6

FILTER
• Principales commandes de iptables
• Supprimer une règle: - D
root@localhost# iptables -D OUTPUT -j DROP
# Supprime la règle OUTPUT -j DROP
root@localhost# iptables -D OUTPUT 1
# Supprime la première règle de la chaîne OUTPUT
• Effacer une ou des règles: - R et – F
root@localhost# iptables -R OUTPUT 1 -j DROP
# Remplace la première règle de la chaîne OUTPUT par –j DROP
root@localhost# iptables -F
# Efface toutes les règles de toutes les chaînes.
root@localhost# iptables -F INPUT
# Efface toutes les règles de la chaîne INPUT.
• Définir une règle par défaut: -P

root@localhost# iptables -P OUTPUT DROP

# utilise la target DROP par défaut si aucune règle
ISTA NTIC BENI MELLAL 2015 7
FILTER
• Options globales de iptables

Argument Description

-s Spécifie une adresse source.

--source
-d Spécifie une adresse de destination.
--destination
-i Spécifie une interface d'entrée.
--in-interface
-o Spécifie une interface de sortie.
--out-interface

ISTA NTIC BENI MELLAL 2015 8

FILTER
• Options globales de iptables : exemples
• Argument -s --source1
root@localhost# iptables -A INPUT -s !192.168.1.8 -j ACCEPT
• # Autorise tout sauf l'hôte 192.168.1.8 à entrer sur la machine.
root@localhost# iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT
• # Autorise le sous-réseau 192.168.1.0 à entrer sur la machine.
• Argument -d –destination
root@localhost# iptables -A FORWARD -d 192.168.1.1 -j ACCEPT
• # Autorise la transmission de paquet vers l'hôte 192.168.1.1
• Argument -i --in-interface
• root@localhost# iptables -A INPUT -i eth0 -j DROP
• # Refuse le trafic en entrée sur l'interface eth0.
• Argument -0 --out-interface
• root@localhost# iptables -A OUTPUT -o eth0 -j DROP
• # Refuse les paquets qui sortentISTApar
NTIC BENI MELLAL 2015
eth0 9
FILTER
 Options des protocoles
Argument Description

-p Spécifie un protocole UDP, TCP, ICMP ou all (pour

--protocol tous les protocoles)

--sport Spécifie le port source (ou une plage de 15 ports

--source-port maximum avec l'option -m multiport)

--dport Spécifie le port de destination (ou une plage de 1

--dport-destination 5 ports maximum avec l'option -m multiport)

--icmp-type Spécifie un type de paquet ICMP à traiter (Option

utilisable uniquement pour le protocole ICMP)

ISTA NTIC BENI MELLAL 2015 10

FILTER
• Options des protocoles : exemples
• Argument -p --protocol
root@localhost# iptables -A INPUT -p icmp -j ACCEPT
# Autorise le protocole ICMP (ping) en entrée.
• Argument --sport --source-port1
root@localhost# iptables -A INPUT -p tcp --sport 80 -j ACCEPT
# Accepte les données envoyer par un site web.
• Argument -dport --dport-destination
root@localhost# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# Accepte le port 21 (FTP) en entrée.
• Argument - - icmp–type
root@localhost# iptables -A INPUT -p icmp --icmp-type 8 -j DROP
# Refuse les icmp echo-request ISTA NTIC BENI MELLAL 2015 11