Iptables est un utilitaire de pare-feu extrêmement flexible conçu pour les systèmes d’exploitation Linux. Que vous soyez un connaisseur Linux novice ou un administrateur système, il est probable que iptables puisse vous être d’une grande utilité. Continuez à lire pendant que nous vous montrons comment configurer le pare-feu Linux le plus polyvalent.

photo par ezioman.

À propos d’iptables

iptables est un utilitaire de pare-feu en ligne de commande qui utilise des chaînes de stratégie pour autoriser ou bloquer le trafic. Lorsqu’une connexion tente de s’établir sur votre système, iptables recherche une règle dans sa liste pour la faire correspondre. S’il n’en trouve pas, il a recours à l’action par défaut.

iptables est presque toujours préinstallé sur n’importe quelle distribution Linux. Pour le mettre à jour / l’installer, il suffit de récupérer le paquet iptables:

sudo apt-get install iptables

Il existe des alternatives GUI à iptables comme Firestarter, mais iptables n’est pas vraiment si difficile une fois que vous avez quelques commandes vers le bas. Vous devez être extrêmement prudent lors de la configuration des règles iptables, en particulier si vous êtes SSH sur un serveur, car une mauvaise commande peut vous bloquer définitivement jusqu’à ce qu’elle soit corrigée manuellement sur la machine physique.

Types de chaînes

iptables utilise trois chaînes différentes: entrée, transfert et sortie.

Contribution – Cette chaîne est utilisée pour contrôler le comportement des connexions entrantes. Par exemple, si un utilisateur tente de SSH sur votre PC / serveur, iptables tentera de faire correspondre l’adresse IP et le port à une règle de la chaîne d’entrée.

Vers l’avant – Cette chaîne est utilisée pour les connexions entrantes qui ne sont pas réellement livrées localement. Pensez à un routeur – les données lui sont toujours envoyées mais rarement réellement destinées au routeur lui-même; les données sont simplement transmises à leur cible. À moins que vous n’effectuiez une sorte de routage, de NAT ou autre chose sur votre système qui nécessite un transfert, vous n’utiliserez même pas cette chaîne.

Il existe un moyen sûr de vérifier si votre système utilise ou a besoin de la chaîne directe.

iptables -L -v

La capture d’écran ci-dessus représente un serveur qui fonctionne depuis quelques semaines et n’a aucune restriction sur les connexions entrantes ou sortantes. Comme vous pouvez le voir, la chaîne d’entrée a traité 11 Go de paquets et la chaîne de sortie a traité 17 Go. La chaîne aval, en revanche, n’a pas eu besoin de traiter un seul paquet. Cela est dû au fait que le serveur n’effectue aucun type de transfert ni n’est utilisé comme périphérique d’intercommunication.

Production – Cette chaîne est utilisée pour les connexions sortantes. Par exemple, si vous essayez d’envoyer une requête ping à howtogeek.com, iptables vérifiera sa chaîne de sortie pour voir quelles sont les règles concernant ping et howtogeek.com avant de décider d’autoriser ou de refuser la tentative de connexion.

La mise en garde

Même si envoyer un ping à un hôte externe semble être quelque chose qui n’aurait besoin que de traverser la chaîne de sortie, gardez à l’esprit que pour renvoyer les données, la chaîne d’entrée sera également utilisée. Lorsque vous utilisez iptables pour verrouiller votre système, n’oubliez pas que de nombreux protocoles nécessiteront une communication bidirectionnelle, de sorte que les chaînes d’entrée et de sortie devront être configurées correctement. SSH est un protocole commun que les gens oublient d’autoriser sur les deux chaînes.

Comportement par défaut de la chaîne de stratégie

Avant d’entrer et de configurer des règles spécifiques, vous devez décider de ce que vous voulez que le comportement par défaut des trois chaînes soit. En d’autres termes, que voulez-vous que iptables fasse si la connexion ne correspond à aucune règle existante?

Pour voir ce que vos chaînes de stratégie sont actuellement configurées pour faire avec le trafic inégalé, exécutez le iptables -L commander.

Comme vous pouvez le voir, nous avons également utilisé la commande grep pour nous fournir une sortie plus propre. Dans cette capture d’écran, nos chaînes sont actuellement conçues pour accepter le trafic.

Plus souvent qu’autrement, vous souhaiterez que votre système accepte les connexions par défaut. Sauf si vous avez modifié les règles de chaîne de stratégie précédemment, ce paramètre doit déjà être configuré. Dans tous les cas, voici la commande pour accepter les connexions par défaut:

iptables --policy INPUT ACCEPT
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT

En adoptant par défaut la règle d’acceptation, vous pouvez ensuite utiliser iptables pour refuser des adresses IP ou des numéros de port spécifiques, tout en continuant à accepter toutes les autres connexions. Nous allons accéder à ces commandes dans une minute.

Si vous préférez refuser toutes les connexions et spécifier manuellement celles que vous souhaitez autoriser à vous connecter, vous devez modifier la stratégie par défaut de vos chaînes à supprimer. Cela ne serait probablement utile que pour les serveurs qui contiennent des informations sensibles et qui ne disposent que des mêmes adresses IP.

iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP

Réponses spécifiques à la connexion

Une fois vos stratégies de chaîne par défaut configurées, vous pouvez commencer à ajouter des règles à iptables afin qu’il sache quoi faire lorsqu’il rencontre une connexion depuis ou vers une adresse IP ou un port particulier. Dans ce guide, nous allons passer en revue les trois «réponses» les plus élémentaires et les plus couramment utilisées.

J’accepte – Autorisez la connexion.

Laissez tomber – Supprimez la connexion, agissez comme si cela n’était jamais arrivé. C’est mieux si vous ne voulez pas que la source réalise que votre système existe.

Rejeter – N’autorisez pas la connexion, mais renvoyez une erreur. C’est mieux si vous ne voulez pas qu’une source particulière se connecte à votre système, mais que vous vouliez qu’ils sachent que votre pare-feu les a bloqués.

La meilleure façon de montrer la différence entre ces trois règles est de montrer à quoi cela ressemble quand un PC essaie de cingler une machine Linux avec iptables configuré pour chacun de ces paramètres.

Autoriser la connexion:

Suppression de la connexion:

Refuser la connexion:

Autoriser ou bloquer des connexions spécifiques

Une fois vos chaînes de règles configurées, vous pouvez désormais configurer iptables pour autoriser ou bloquer des adresses, des plages d’adresses et des ports spécifiques. Dans ces exemples, nous allons définir les connexions sur DROP, mais vous pouvez les basculer sur ACCEPT ou REJECT, en fonction de vos besoins et de la façon dont vous avez configuré vos chaînes de règles.

Remarque: dans ces exemples, nous allons utiliser iptables -A pour ajouter des règles à la chaîne existante. iptables commence en haut de sa liste et passe par chaque règle jusqu’à ce qu’il en trouve une à laquelle il correspond. Si vous devez insérer une règle au-dessus d’une autre, vous pouvez utiliser iptables -I [chain] [number] pour spécifier le nombre, il doit être dans la liste.

Connexions à partir d’une seule adresse IP

Cet exemple montre comment bloquer toutes les connexions à partir de l’adresse IP 10.10.10.10.

iptables -A INPUT -s 10.10.10.10 -j DROP

Connexions à partir d’une gamme d’adresses IP

Cet exemple montre comment bloquer toutes les adresses IP dans la plage réseau 10.10.10.0/24. Vous pouvez utiliser un masque de réseau ou une notation barre oblique standard pour spécifier la plage d’adresses IP.

iptables -A INPUT -s 10.10.10.0/24 -j DROP

ou

iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP

Connexions à un port spécifique

Cet exemple montre comment bloquer les connexions SSH à partir de 10.10.10.10.

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP

Vous pouvez remplacer «ssh» par n’importe quel protocole ou numéro de port. le -p tcp une partie du code indique à iptables quel type de connexion le protocole utilise. Si vous bloquiez un protocole qui utilise UDP plutôt que TCP, alors -p udp serait nécessaire à la place.

Cet exemple montre comment bloquer les connexions SSH à partir de n’importe quelle adresse IP.

iptables -A INPUT -p tcp --dport ssh -j DROP

États de connexion

Comme nous l’avons mentionné plus tôt, de nombreux protocoles vont nécessiter une communication bidirectionnelle. Par exemple, si vous souhaitez autoriser les connexions SSH à votre système, les chaînes d’entrée et de sortie auront besoin d’une règle qui leur sera ajoutée. Mais, que se passe-t-il si vous souhaitez uniquement que SSH entrant dans votre système soit autorisé? N’ajoutera-t-il pas une règle à la chaîne de sortie pour autoriser les tentatives SSH sortantes?

C’est là que les états de connexion entrent en jeu, ce qui vous donne la capacité dont vous avez besoin pour autoriser la communication bidirectionnelle mais uniquement autoriser les connexions unidirectionnelles à établir. Jetez un œil à cet exemple, où les connexions SSH DE 10.10.10.10 sont autorisées, mais les connexions SSH DE 10.10.10.10 ne le sont pas. Cependant, le système est autorisé à renvoyer des informations via SSH tant que la session a déjà été établie, ce qui rend possible la communication SSH entre ces deux hôtes.

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT

Enregistrer les modifications

Les modifications que vous apportez à vos règles iptables seront supprimées la prochaine fois que le service iptables sera redémarré, sauf si vous exécutez une commande pour enregistrer les modifications. Cette commande peut différer selon votre distribution:

Ubuntu:

sudo /sbin/iptables-save

Red Hat / CentOS:

/sbin/service iptables save

Ou

/etc/init.d/iptables save

Autres commandes

Répertoriez les règles iptables actuellement configurées:

iptables -L

Ajout du -v L’option vous donnera des informations sur les paquets et les octets, et en ajoutant -n listera tout numériquement. En d’autres termes, les noms d’hôte, les protocoles et les réseaux sont répertoriés sous forme de nombres.

Pour effacer toutes les règles actuellement configurées, vous pouvez exécuter la commande flush.

iptables -F

Laisser un commentaire