La première étape lors de l'utilisation de IPTables est de démarrer le service IPTables. Pour ce faire, utilisez la commande suivante :
service iptables start |
![]() | Avertissement | |
---|---|---|
Les services IP6Tables devraient être désactivés afin d'utiliser le service IPTables à l'aide des commandes suivantes :
|
Pour que IPTables soit lancé par défaut dès que le système est démarré, vous devez changer le statut du niveau d'exécution sur le service à l'aide de chkconfig.
chkconfig --level 345 iptables on |
La syntaxe de IPTables est séparée en tiers. Le tiers principal est la chaîne. Une chaîne spécifie l'état auquel un paquet sera manipulé. Son utilisation est la suivante :
iptables -A chain -j target |
L'option -A ajoute une règle à la fin d'un ensemble de règles existant. chain représente le nom de la chaîne pour une règle. Les trois chaînes intégrées de IPTables (c'est-à-dire, les chaînes qui affectent tous les paquets qui traversent un réseau) sont INPUT, OUTPUT et FORWARD. Elles sont permanentes et ne peuvent pas être supprimées.
![]() | Important | |
---|---|---|
Lors de la création d'un ensemble de règles IPTables, il est critique de se souvenir que l'ordre est important. Par exemple, si une chaîne spécifie que tout paquet provenant du sous-réseau local 192.168.100.0/24 n'est pas pris en compte et qu'une autre chaîne est ajoutée (-A) qui autorise les paquets provenant de 192.168.100.13 (qui est à l'intérieur du sous-réseau restreint), cette dernière règle sera alors ignorée. Vous devez tout d'abord définir une règle autorisant 192.168.100.13, puis définir l'autre règle sur le sous-réseau. Pour insérer une règle dans une chaîne existante de règles, utilisez -I, suivi de la chaîne dans laquelle vous souhaitez insérer la règle et un numéro de règle (1,2,3,...,n) où vous souhaitez la mettre. Par exemple :
La règle est insérée comme première règle dans la chaîne INPUT pour autoriser le trafic de périphérique de loopback local. |
Certaines politiques élémentaires établies depuis le début peuvent servir de bases pour construire des règles définies par l'utilisateur plus détaillées. IPTables utilise des politiques (-P) afin de créer des règles par défaut. Les administrateurs qui font toujours attention à la sécurité, choisissent normalement la politique de ne prendre en compte aucun paquet et de n'autoriser que des paquets spécifiques selon leur cas. Les règles suivantes bloquent tous les paquets entrants et sortants sur une passerelle réseau :
iptables -P INPUT DROP iptables -P OUTPUT DROP |
En outre, il est recommandé que tout paquet retransmis — le trafic réseau qui doit être routé à partir du pare-feu jusqu'à son noeud de destination — soit également refusé, afin de restreindre les clients internes à toute exposition involontaire à l'internet. Pour ce faire, utilisez la règle suivante :
iptables -P FORWARD DROP |
![]() | Remarque |
---|---|
Il existe une différence entre les actions de cible REJECT et DROP lorsqu'il s'agit de règles ajoutées. La cible REJECT refuse l'accès et renvoie une erreur connection refused (connexion refusée) aux utilisateurs qui essaient de se connecter au service. La cible DROP ne prend pas en compte les paquets sans prévenir les utilisateurs telnet. Les administrateurs peuvent utiliser ces cibles à leur discrétion ; toutefois, pour rendre la situation plus claire et pour éviter que l'utilisateur n'essaie de continuer à se connecter, il est recommandé d'utiliser la cible REJECT. |
Après avoir configuré les chaînes de politique, créez de nouvelles règles pour votre réseau et vos besoins de sécurité particuliers. Les section suivantes examinent certaines règles que vous pouvez implémenter lors de la construction de votre pare-feu IPTables.
Les règles de pare-feu sont uniquement valides lorsque l'ordinateur est allumé. Si le système est redémarré, les règles sont automatiquement supprimées et réinitialisées. Pour sauvegarder les règles afin qu'elles soient chargées à une date ultérieure, utilisez la commande suivante :
/sbin/service iptables save |
Les règles sont stockées dans le fichier /etc/sysconfig/iptables et sont appliquées dès que le service est lancé ou redémarré, y compris lorsque l'ordinateur est redémarré.
Précédent | Sommaire | Suivant |
Pare-feu | Niveau supérieur | Filtrage iptables commun |