Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Utilisation d'iptables

7.2. Utilisation d'iptables

La premi�re �tape lors de l'utilisation de iptables est de d�marrer le service iptables. Pour ce faire, utilisez la commande suivante�:

service iptables start

AvertissementAvertissement
 

Les services ip6tables devraient �tre d�sactiv�s afin d'utiliser le service iptables � l'aide des commandes suivantes�:

service ip6tables stop
chkconfig ip6tables off

Pour que iptables soit lanc� par d�faut d�s que le syst�me est d�marr�, vous devez changer le statut du niveau d'ex�cution sur le service � l'aide de chkconfig.

chkconfig --level 345 iptables on

La syntaxe de iptables est s�par�e en tiers. Le tiers principal est la cha�ne. Une cha�ne sp�cifie l'�tat auquel un paquet sera manipul�. Son utilisation est la suivante�:

iptables -A chain -j target

L'option -A ajoute une r�gle � la fin d'un ensemble de r�gles existant. chain repr�sente le nom de la cha�ne pour une r�gle. Les trois cha�nes int�gr�es de iptables (c'est-�-dire, les cha�nes qui affectent tous les paquets qui traversent un r�seau) sont INPUT, OUTPUT et FORWARD. Elles sont permanentes et ne peuvent pas �tre supprim�es. L'option -j target sp�cifie l'emplacement dans l'ensemble de r�gles iptables o� cette r�gle particuli�re devrait directement passer (jump). Certaines cibles int�gr�es sont ACCEPT, DROP et REJECT.

De nouvelles cha�nes (�galement appel�es cha�nes d�finies par l'utilisateur) peuvent �tre cr��es � l'aide de l'option -N. Il est utile de cr�er une nouvelle cha�ne pour personnaliser des r�gles granulaires ou �labor�es.

7.2.1. Politiques �l�mentaires de pare-feu

Certaines politiques �l�mentaires de pare-feu �tablies depuis le d�but peuvent servir de base pour construire des r�gles d�finies par l'utilisateur plus d�taill�es. iptables utilise des politiques (-P) afin de cr�er des r�gles par d�faut. Les administrateurs qui font toujours attention � la s�curit�, choisissent normalement la politique de ne prendre en compte aucun paquet et de n'autoriser que des paquets sp�cifiques selon leur cas. Les r�gles suivantes bloquent tous les paquets entrants et sortants sur une passerelle r�seau�:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

En outre, il est recommand� que tout paquet retransmis — le trafic r�seau qui doit �tre rout� � partir du pare-feu jusqu'� son noeud de destination — soit �galement refus�, afin de restreindre les clients internes � toute exposition involontaire � l'internet. Pour ce faire, utilisez la r�gle suivante�:

iptables -P FORWARD DROP 

Apr�s avoir configur� les cha�nes de politique, vous pouvez cr�er de nouvelles r�gles pour votre r�seau et vos besoins de s�curit� particuliers. Les sections suivantes examinent certaines r�gles que vous pouvez impl�menter lors de la construction de votre pare-feu iptables.

7.2.2. Sauvegarde et restauration de r�gles iptables

Les r�gles de pare-feu sont uniquement valides lorsque l'ordinateur est allum�. Si le syst�me est red�marr�, les r�gles sont automatiquement supprim�es et r�initialis�es. Pour sauvegarder les r�gles afin qu'elles soient charg�es � une date ult�rieure, utilisez la commande suivante�:

/sbin/service iptables save

Les r�gles sont stock�es dans le fichier /etc/sysconfig/iptables et sont appliqu�es d�s que le service est lanc� ou red�marr�, y compris lorsque l'ordinateur est red�marr�.

 
 
  Published under the terms of the GNU General Public License Design by Interspire