Skip navigation

Firewall : iptables

Éditer des règles de firewalling avec iptables

iptables permet de filtrer les connexions entrantes et/ou sortantes. Utilisé comme pare-feu, iptables permet également de faire de la translation d’adresse (NAT).

Lister les règles en cours.

root@debian~#: iptables -L

sortie

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination 

La sortie précédente donne accès à quiconque de importe où.

Supprimer toutes les règles en cours incluant les règles NAT.

root@debian~#: iptables -F
root@debian~#: iptables -X
root@debian~#: iptables -F -t nat
root@debian~#: iptables -X -t nat

Les chaînes
INPUT : règle entrante
OUTPUT : règle sortant
FORWARD : règle de transite.

Les “policy” (politique)
ACCEPT : accepte les paquets
REJECT : refuse les paquets avec notification
DROP : refuse/jette les paquets sans notification

Gestions des policy de connexions pour tout refuser.

: à ne pas faire sur une machine distante.

root@debian~#: iptables -P INPUT DROP
root@debian~#: iptables -P OUTPUT DROP
root@debian~#: iptables -P FORWARD DROP

: les commandes iptables -F suivi de iptables -X n’affectent pas les “policy”.

Options courantes

Option Description
-F, --flush Nettoie la règle passé en paramètre. Vide toutes la table si aucun paramètre est passée.
-X, --zero Nettoie la règle de l’utilisateur passée en paramètre. Vide toutes la table si aucun paramètre est passé.
-t, --table Définie le type de “table” sur lequel l’utilisateur veut agir : filter, nat, mangle, […]
-P, --policy Change le type de “policy”
-A, --append Ajoute une ou plusieurs règles.
-p--protocol Le protocole de la règle ou du paquet.
-i, --in-interface Nom l’interface qui reçoit les paquets pour les chaînes : INPUT, FORWARD et PREROUTING.
-o, --out-interface Nom de l’interface qui envoie les paquets pour les chaînes FORWARD, OUTPUT et POSTROUTING.
--dport, --destination-port Port ou intervalle de port de destination.
--sport, --source-port Port ou intervalle de port source.
-j, --jump Spécifie la cible de la règle, action à effectuer si le paquet correspond à la règle

Création d’une règle

Autoriser à comminiquer via SSH.

root@debian~#: iptables -A INPUT -p tcp -i eth0 -d 172.16.0.10 --dport ssh -j ACCEPT #1
root@debian~#: iptables -A OUTPUT -p tcp -o eth0 -d 172.16.0.0/16 --sport ssh -j ACCEPT #2

La règle #1 va autoriser l’interface eth0 à recevoir (–dport) via le protocol ssh.
La règle #2 va autoriser l’interface eth0 à emettre (–sport) via le protocol ssh.

Cette règle n’est pas permanante.

Sauvegarder une règle

Pour sauvegarder une règle il faut utiliser la commande iptables-save.

root@debian~#: iptables-save > /etc/iptables.up.rules

Restaurer une règle

Pour restaurer une règle il faut utiliser la commande iptables-restore.

root@debian~#: iptables-restore < /etc/iptables.up.rules

: dans l’exemple les règles sont sauvegarder puis restaurer depuis le dossier /etc mais elles peuvent être stockées ailleurs.

Appliquer les règles au démarrage

Enfin, toujours via la commande iptables-restore il est possible d’appliquer des règles iptables dès le démarrage.

Créer le fichier d’appel des règles

root@debian~#: vim /etc/network/if-pre-up.d/iptables

contenu du fichier

#!/bin/sh
/sbin/iptables-restore < /etc/iptables.up.rules

Ce fichier doit être executable.

root@debian~#: chmod +x /etc/network/if-pre-up.d/iptables

Exemple d’application

Accéder à Internet depuis une VM derrière un hyperviseur

Supposons que l’on souhaites accéder, via ssh, à des VMs sans passer par l’hyperviseur.

vm-behind-host

Voici la règle.

root@debian~#: iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 23980 -j DNAT --to 10.0.0.15:22

Cette règle va NATer une connexion entrante de l’interface eth0 sur le port 29980 vers l’IP 10.0.0.15 sur son port 22.

Natter tout traffic

root@debian~#: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Scripts

Faire un « safe flush » des règles iptables.

: à placer dans /usr/local/sbin/ de façon à pouvoir l’appeler de façon transparente.

script : iptable-flush.sh

#!/bin/bash

# Flusher les règles existantes
iptables -F
iptables -X

iptables -t nat -F
iptables -t nat -X

# Application de la politique par défaut
# /!\ À ne pas faire via un accès distant
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Autoriser tout en loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Autorise le ping DEPUIS l'extérieur uniquement
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

# Autorise le ping VERS l'extérieur uniquement
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT

# NOTE : autorisez tout en ping en une seule règle
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# Autoriser tout trafic sortant et la réponse à ce trafic
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT

by | April 25, 2015 | No Comments | Système | Tags : firewall iptables


Laisser un commentaire

Votre email ne sera pas publié. Required fields are marked*