Le fait de garder des agresseurs distants à l'extérieur d'un LAN représente un aspect important de la sécurité réseau, voire le plus important. L'intégrité d'un LAN devrait être protégée contre les utilisateurs distants malveillants grâce à l'utilisation de règles rigoureuses de pare-feu. Cependant, avec une politique par défaut définie de façon à bloquer tous les paquets entrants, sortants et retransmis, il est impossible que les utilisateurs internes du LAN, de la passerelle et du pare-feu puissent communiquer entre eux ou de manière externe. Pour autoriser les utilisateurs à effectuer des fonctions relatives au réseau et utiliser des applications réseau, les administrateurs doivent ouvrir certains ports à la communication.
Par exemple, pour autoriser l'accès au port 80 sur le pare-feu, ajoutez la règle suivante :
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT |
Cela autorise la navigation régulière du Web depuis les sites Web qui communiquent via le port 80. Pour autoriser l'accès aux sites Web sécurisés (tels que https://www.example.com/), vous devez également ouvrir le port 443.
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT |
Il se peut parfois que vous ayez besoin d'un accès distant au LAN de l'extérieur du LAN. Des services sécurisés, tels que SSH et CIPE, peuvent être utilisés pour des connexions cryptées à distance aux services du LAN. Pour les administrateurs avec des ressources basées sur PPP (comme les banques de modem ou les comptes ISP), l'accès commuté peut être utilisé pour éviter les barrières de pare-feu de manière sécurisée, vu que les connexions par modem se trouvent normalement derrière un pare-feu / une passerelle, étant des connexions directes. Toutefois, pour des utilisateurs distants utilisant des connexions à large bande, des exemptions peuvent être accordées. Vous pouvez configurer IPTables de façon à accepter les connexions provenant de clients SSH et CIPE distants. Par exemple, pour autoriser l'accès SSH à distance, les règles suivantes peuvent être utilisées :
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p udp --sport 22 -j ACCEPT |
Les requêtes de connexion CIPE provenant de l'extérieur peuvent être acceptées à l'aide de la commande suivante (en remplaçant x par le numéro de votre périphérique) :
iptables -A INPUT -p udp -i cipcbx -j ACCEPT iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT |
Vu que CIPE utilise son propre périphérique virtuel qui transmet des paquets de datagramme (UDP), la règle autorise l'interface cipcb pour les connexions entrantes, au lieu de ports source ou de destination (bien qu'ils puissent être utilisés à la place d'options de périphériques). Afin d'obtenir de plus amples informations sur l'utilisation de CIPE, reportez-vous au Chapitre 6.
Il existe d'autres services pour lesquels vous pouvez avoir à définir des règles. Reportez-vous au Guide de référence de Red Hat Enterprise Linux pour obtenir des informations complètes sur IPTables et ses diverses options.
Ces règles autorisent l'accès aux services réguliers et sécurisés sur le pare-feu ; toutefois, elles ne permettent pas aux noeuds situés derrière le pare-feu d'accéder à ces services. Pour autoriser l'accès LAN à ces services, vous pouvez utiliser NAT avec les règles de filtrage IPTables.
Précédent | Sommaire | Suivant |
Utilisation de IPTables | Niveau supérieur | Règles FORWARD et NAT |