Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux - Guide de securite - Filtrage iptables commun

7.3. Filtrage iptables commun

Le fait de garder des agresseurs distants � l'ext�rieur d'un LAN repr�sente un aspect important de la s�curit� r�seau, voire le plus important. L'int�grit� d'un LAN devrait �tre prot�g�e contre les utilisateurs distants malveillants gr�ce � l'utilisation de r�gles rigoureuses de pare-feu. Cependant, avec une politique par d�faut d�finie de fa�on � bloquer tous les paquets entrants, sortants et retransmis, il est impossible que les utilisateurs internes du LAN, de la passerelle et du pare-feu puissent communiquer entre eux ou de mani�re externe. Pour autoriser les utilisateurs � effectuer des fonctions relatives au r�seau et utiliser des applications r�seau, les administrateurs doivent ouvrir certains ports � la communication.

Par exemple, pour autoriser l'acc�s au port 80 sur le pare-feu, ajoutez la r�gle suivante�:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

Cela autorise la navigation r�guli�re du Web depuis les sites Web qui communiquent via le port 80. Pour autoriser l'acc�s aux sites Web s�curis�s (tels que https://www.example.com/), vous devez �galement ouvrir le port 443.

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 

ImportantImportant
 

Lors de la cr�ation d'un ensemble de r�gles iptables, il est critique de se souvenir que l'ordre est important. Par exemple, si une cha�ne sp�cifie que tout paquet provenant du sous-r�seau local 192.168.100.0/24 n'est pas pris en compte et qu'une autre cha�ne est ajout�e (-A) qui autorise les paquets provenant de 192.168.100.13 (qui est � l'int�rieur du sous-r�seau restreint), cette derni�re r�gle sera alors ignor�e. Vous devez tout d'abord d�finir une r�gle autorisant 192.168.100.13, puis d�finir l'autre r�gle sur le sous-r�seau.

Pour ins�rer une r�gle de mani�re arbitraire dans une cha�ne existante de r�gles, utilisez -I, suivi de la cha�ne dans laquelle vous souhaitez ins�rer la r�gle et un num�ro de r�gle (1,2,3,...,n) o� vous souhaitez la mettre. Par exemple�:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

La r�gle est ins�r�e comme premi�re r�gle dans la cha�ne INPUT pour autoriser le trafic de p�riph�rique de loopback local.

Il se peut parfois que vous ayez besoin d'un acc�s distant au LAN de l'ext�rieur du LAN. Des services s�curis�s, comme SSH, peuvent �tre utilis�s pour des connexions crypt�es � distance aux services du LAN. Pour les administrateurs avec des ressources bas�es sur PPP (comme les banques de modem ou les comptes ISP), l'acc�s commut� peut �tre utilis� pour �viter les barri�res de pare-feu de mani�re s�curis�e, vu que les connexions par modem se trouvent normalement derri�re un pare-feu / une passerelle, �tant des connexions directes. Toutefois, pour des utilisateurs distants utilisant des connexions � large bande, des exemptions peuvent �tre accord�es. Vous pouvez configurer iptables de fa�on � accepter les connexions provenant de clients SSH distants. Par exemple, pour autoriser l'acc�s SSH � distance, les r�gles suivantes peuvent �tre utilis�es�:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Il existe d'autres services pour lesquels vous pouvez avoir � d�finir des r�gles. Reportez-vous au Guide de r�f�rence de Red Hat Enterprise Linux pour obtenir des informations compl�tes sur iptables et ses diverses options.

Ces r�gles autorisent l'acc�s entrant et sortant � un syst�me individuel, comme un seul PC connect� directement � Internet ou � un pare-feu ou une passerelle. Toutefois, elles ne permettent pas aux noeuds situ�s derri�re le pare-feu ou la passerelle d'acc�der � ces services. Pour autoriser l'acc�s LAN � ces services, vous pouvez utiliser NAT avec les r�gles de filtrage iptables.

 
 
  Published under the terms of the GNU General Public License Design by Interspire