7.2. Utilisation d'iptables
La premi�re �tape lors de l'utilisation de iptables est de d�marrer le service iptables. Pour ce faire, utilisez la commande suivante�:
 | Avertissement |
|---|
| | Les services ip6tables devraient �tre d�sactiv�s afin d'utiliser le service iptables � l'aide des commandes suivantes�: service ip6tables stop
chkconfig ip6tables off |
|
Pour que iptables soit lanc� par d�faut d�s que le syst�me est d�marr�, vous devez changer le statut du niveau d'ex�cution sur le service � l'aide de chkconfig.
chkconfig --level 345 iptables on |
La syntaxe de iptables est s�par�e en tiers. Le tiers principal est la cha�ne. Une cha�ne sp�cifie l'�tat auquel un paquet sera manipul�. Son utilisation est la suivante�:
iptables -A chain -j target |
L'option -A ajoute une r�gle � la fin d'un ensemble de r�gles existant. chain repr�sente le nom de la cha�ne pour une r�gle. Les trois cha�nes int�gr�es de iptables (c'est-�-dire, les cha�nes qui affectent tous les paquets qui traversent un r�seau) sont INPUT, OUTPUT et FORWARD. Elles sont permanentes et ne peuvent pas �tre supprim�es. L'option -j target sp�cifie l'emplacement dans l'ensemble de r�gles iptables o� cette r�gle particuli�re devrait directement passer (jump). Certaines cibles int�gr�es sont ACCEPT, DROP et REJECT.
De nouvelles cha�nes (�galement appel�es cha�nes d�finies par l'utilisateur) peuvent �tre cr��es � l'aide de l'option -N. Il est utile de cr�er une nouvelle cha�ne pour personnaliser des r�gles granulaires ou �labor�es.
7.2.1. Politiques �l�mentaires de pare-feu
Certaines politiques �l�mentaires de pare-feu �tablies depuis le d�but peuvent servir de base pour construire des r�gles d�finies par l'utilisateur plus d�taill�es. iptables utilise des politiques (-P) afin de cr�er des r�gles par d�faut. Les administrateurs qui font toujours attention � la s�curit�, choisissent normalement la politique de ne prendre en compte aucun paquet et de n'autoriser que des paquets sp�cifiques selon leur cas. Les r�gles suivantes bloquent tous les paquets entrants et sortants sur une passerelle r�seau�:
iptables -P INPUT DROP
iptables -P OUTPUT DROP |
En outre, il est recommand� que tout paquet retransmis — le trafic r�seau qui doit �tre rout� � partir du pare-feu jusqu'� son noeud de destination — soit �galement refus�, afin de restreindre les clients internes � toute exposition involontaire � l'internet. Pour ce faire, utilisez la r�gle suivante�:
Apr�s avoir configur� les cha�nes de politique, vous pouvez cr�er de nouvelles r�gles pour votre r�seau et vos besoins de s�curit� particuliers. Les sections suivantes examinent certaines r�gles que vous pouvez impl�menter lors de la construction de votre pare-feu iptables.
7.2.2. Sauvegarde et restauration de r�gles iptables
Les r�gles de pare-feu sont uniquement valides lorsque l'ordinateur est allum�. Si le syst�me est red�marr�, les r�gles sont automatiquement supprim�es et r�initialis�es. Pour sauvegarder les r�gles afin qu'elles soient charg�es � une date ult�rieure, utilisez la commande suivante�:
/sbin/service iptables save |
Les r�gles sont stock�es dans le fichier /etc/sysconfig/iptables et sont appliqu�es d�s que le service est lanc� ou red�marr�, y compris lorsque l'ordinateur est red�marr�.
