Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Filtrage iptables commun

7.3. Filtrage iptables commun

Le fait de garder des agresseurs distants � l'ext�rieur d'un LAN repr�sente un aspect important de la s�curit� r�seau, voire le plus important. L'int�grit� d'un LAN devrait �tre prot�g�e contre les utilisateurs distants malveillants gr�ce � l'utilisation de r�gles rigoureuses de pare-feu. Cependant, avec une politique par d�faut d�finie de fa�on � bloquer tous les paquets entrants, sortants et retransmis, il est impossible que les utilisateurs internes du LAN, de la passerelle et du pare-feu puissent communiquer entre eux ou de mani�re externe. Pour autoriser les utilisateurs � effectuer des fonctions relatives au r�seau et utiliser des applications r�seau, les administrateurs doivent ouvrir certains ports � la communication.

Par exemple, pour autoriser l'acc�s au port 80 sur le pare-feu, ajoutez la r�gle suivante�:

iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 

Cela autorise la navigation r�guli�re du Web depuis les sites Web qui communiquent via le port 80. Pour autoriser l'acc�s aux sites Web s�curis�s (tels que https://www.example.com/), vous devez �galement ouvrir le port 443.

iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT 

ImportantImportant
 

Lors de la cr�ation d'un ensemble de r�gles iptables, il est critique de se souvenir que l'ordre est important. Par exemple, si une cha�ne sp�cifie que tout paquet provenant du sous-r�seau local 192.168.100.0/24 n'est pas pris en compte et qu'une autre cha�ne est ajout�e (-A) qui autorise les paquets provenant de 192.168.100.13 (qui est � l'int�rieur du sous-r�seau restreint), cette derni�re r�gle sera alors ignor�e. Vous devez tout d'abord d�finir une r�gle autorisant 192.168.100.13, puis d�finir l'autre r�gle sur le sous-r�seau.

Pour ins�rer une r�gle de mani�re arbitraire dans une cha�ne existante de r�gles, utilisez -I, suivi de la cha�ne dans laquelle vous souhaitez ins�rer la r�gle et un num�ro de r�gle (1,2,3,...,n) o� vous souhaitez la mettre. Par exemple�:

iptables -I INPUT 1 -i lo -p all -j ACCEPT

La r�gle est ins�r�e comme premi�re r�gle dans la cha�ne INPUT pour autoriser le trafic de p�riph�rique de loopback local.

Il se peut parfois que vous ayez besoin d'un acc�s distant au LAN de l'ext�rieur du LAN. Des services s�curis�s, comme SSH, peuvent �tre utilis�s pour des connexions crypt�es � distance aux services du LAN. Pour les administrateurs avec des ressources bas�es sur PPP (comme les banques de modem ou les comptes ISP), l'acc�s commut� peut �tre utilis� pour �viter les barri�res de pare-feu de mani�re s�curis�e, vu que les connexions par modem se trouvent normalement derri�re un pare-feu / une passerelle, �tant des connexions directes. Toutefois, pour des utilisateurs distants utilisant des connexions � large bande, des exemptions peuvent �tre accord�es. Vous pouvez configurer iptables de fa�on � accepter les connexions provenant de clients SSH distants. Par exemple, pour autoriser l'acc�s SSH � distance, les r�gles suivantes peuvent �tre utilis�es�:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --sport 22 -j ACCEPT

Il existe d'autres services pour lesquels vous pouvez avoir � d�finir des r�gles. Reportez-vous au Guide de r�f�rence de Red Hat Enterprise Linux pour obtenir des informations compl�tes sur iptables et ses diverses options.

Ces r�gles autorisent l'acc�s entrant et sortant � un syst�me individuel, comme un seul PC connect� directement � Internet ou � un pare-feu ou une passerelle. Toutefois, elles ne permettent pas aux noeuds situ�s derri�re le pare-feu ou la passerelle d'acc�der � ces services. Pour autoriser l'acc�s LAN � ces services, vous pouvez utiliser NAT avec les r�gles de filtrage iptables.

 
 
  Published under the terms of the GNU General Public License Design by Interspire