[[iptables]]
Piste: » iptables
Netfilter & Iptables
Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité de contrôler, modifier et filtrer les paquets IP, et de suivre les connexions. Il fournit ainsi les fonctions de pare-feu, de partage de connexions internet et d'autorisation du trafic réseau. Iptables est l'interface "ligne de commande" permettant de configurer Netfilter.
Ce document contient les informations de base à propos de iptables, pour ceux qui souhaitent mettre en place un firewall et/ou un partage de connexion sans passer par une interface graphique. Les lecteurs désirant approfondir leur recherche trouveront des dizaines de tutoriels sur iptables & netfilter.
Firewall
Nous allons configurer notre firewall de la manière suivante :
- On bloque tout le trafic entrant par défaut.
- On autorise au cas par cas : le trafic appartenant ou lié à des connexions déjà établies et le trafic à destinations des serveurs (web, ssh, etc.) que nous souhaitons mettre à disposition.
Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d'abord créer les autorisations, puis nous enverrons le reste en enfer.
En tapant « sudo iptables -L », une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n'avez encore jamais touché à iptables, les chaines sont vides, et vous devriez voir :
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Pour l'instant, tout passe dans toutes les directions (policy ACCEPT). Pour cette configuration basique, seul le trafic entrant (chaine input) nous intéresse.
Si vous avez déjà modifié la configuration et que vous voulez la réinitialiser, tapez :
sudo iptables -F sudo iptables -X
Autoriser le trafic entrant d'une connexion déjà établie
Nous pouvons permettre à une connexion déjà ouverte de recevoir du trafic :
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Permettre le trafic entrant sur un port spécifique
Pour permettre le trafic entrant sur le port 22 (traditionnellement utilisé par SSH, vous devrez indiquer à iptables tout le trafic TCP sur le port 22 de votre adaptateur réseau.
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
Cette commande ajoute une règle (-A) à la chaine contrôlant le trafic entrant INPUT, pour autoriser le trafic (-j ACCEPT), vers l'interface (-i) eth0 et à destination du port (--dport) SSH (on aurait pu mettre 22).
Maintenant vous pouvez vérifier vos règles iptables :
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh
Maintenant, acceptons tout le trafic web (www) entrant :
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
En regardant nos règles, nous avons :
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:www
Nous avons exceptionnellement autorisé le trafic tcp pour ssh et les ports web, mais comme nous n'avons rien bloqué, tout le trafic passe quand même.
Bloquer le trafic
Maintenant que nous avons fini avec les autorisations, il faut maintenant bloquer le reste. Nous allons en fait modifier la « politique par défaut » (policy) de la chaine INPUT : cette décision (DROP) s'applique lorsqu'aucune règle n'a été appliquée à un paquet. Donc, si la tentative de connexion n'est permise par aucune des règles précédentes, elle sera rejetée.
# iptables -P INPUT DROP # iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:www
Un autre moyen de procéder est l'ajout en fin de chaine d'une règle supprimant les paquets (les paquets autorisés par les règles précédentes n'atteindraient pas celle-ci), via iptables -P INPUT -j DROP, mais il faudrait alors faire attention à la position des futures règles.
Autoriser le trafic local
Un petit problème de notre configuration est que même l'interface locale (loopback) est bloquée. Nous pourrions avoir écrit les règles de rejet seulement pour eth0 en spécifiant -i eth0, mais nous pouvons aussi ajouter une règle pour loopback. Par exemple, nous pourrions l'insérer en 2e position :
# iptables -I INPUT 2 -i lo -j ACCEPT
Fini !
Pour lister les règles plus en détail.
# iptables -L -v -n
Autoriser les requêtes ICMP (ping) :
Il peut-être utile de valider les réponses aux requêtes "ping", ne serait-ce que pour s'assurer que le poste est toujours en activité.
# On autorise le PC a faire des pings sur des IP externes iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # On autorise les pings iptables -A INPUT -p icmp -j ACCEPT
Passerelle/routeur et partage de connexion
À venir. merci de secouer les puces à eks si vous trouvez qu'il traine trop. 
Appliquer les règles au démarrage
Vous avez testé vos règles, ça marche au poil, alors il reste à les appliquer au démarrage.
Commencez par éditer un fichier en root, que vous enregistrerez sous /etc/init.d/moniptables. La première ligne de ce fichier doit être :
#!/bin/bash
Cette ligne indique que le fichier doit être enregistré en temps que script bash.
Le reste du fichier doit contenir les commandes iptables que vous avez générées.
Rendez ce script exécutable :
sudo chmod +x /etc/init.d/moniptables
Puis indiquez à votre ordinateur de l'utiliser au démarrage :
sudo update-rc.d moniptables defaults
Ça devrait être bon. Au prochain redémarrage, vous pouvez vérifier que vos règles sont bien utilisées, en effectuant :
sudo iptables -L
Informations supplémentaires
En anglais :
En Français :
Sources
- Merci à Rusty Russell et son How-To, il est la base de cette page.
Et merci surtout pour son travail au sein de l'équipe de développement de Netfilter.
