Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux - Guide de securite - Utilisation d'iptables

7.2. Utilisation d'iptables

La premi�re �tape lors de l'utilisation de iptables est de d�marrer le service iptables. Pour ce faire, utilisez la commande suivante�:

service iptables start

AvertissementAvertissement
 

Les services ip6tables devraient �tre d�sactiv�s afin d'utiliser le service iptables � l'aide des commandes suivantes�:

service ip6tables stop
chkconfig ip6tables off

Pour que iptables soit lanc� par d�faut d�s que le syst�me est d�marr�, vous devez changer le statut du niveau d'ex�cution sur le service � l'aide de chkconfig.

chkconfig --level 345 iptables on

La syntaxe de iptables est s�par�e en tiers. Le tiers principal est la cha�ne. Une cha�ne sp�cifie l'�tat auquel un paquet sera manipul�. Son utilisation est la suivante�:

iptables -A chain -j target

L'option -A ajoute une r�gle � la fin d'un ensemble de r�gles existant. chain repr�sente le nom de la cha�ne pour une r�gle. Les trois cha�nes int�gr�es de iptables (c'est-�-dire, les cha�nes qui affectent tous les paquets qui traversent un r�seau) sont INPUT, OUTPUT et FORWARD. Elles sont permanentes et ne peuvent pas �tre supprim�es. L'option -j target sp�cifie l'emplacement dans l'ensemble de r�gles iptables o� cette r�gle particuli�re devrait directement passer (jump). Certaines cibles int�gr�es sont ACCEPT, DROP et REJECT.

De nouvelles cha�nes (�galement appel�es cha�nes d�finies par l'utilisateur) peuvent �tre cr��es � l'aide de l'option -N. Il est utile de cr�er une nouvelle cha�ne pour personnaliser des r�gles granulaires ou �labor�es.

7.2.1. Politiques �l�mentaires de pare-feu

Certaines politiques �l�mentaires de pare-feu �tablies depuis le d�but peuvent servir de base pour construire des r�gles d�finies par l'utilisateur plus d�taill�es. iptables utilise des politiques (-P) afin de cr�er des r�gles par d�faut. Les administrateurs qui font toujours attention � la s�curit�, choisissent normalement la politique de ne prendre en compte aucun paquet et de n'autoriser que des paquets sp�cifiques selon leur cas. Les r�gles suivantes bloquent tous les paquets entrants et sortants sur une passerelle r�seau�:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

En outre, il est recommand� que tout paquet retransmis — le trafic r�seau qui doit �tre rout� � partir du pare-feu jusqu'� son noeud de destination — soit �galement refus�, afin de restreindre les clients internes � toute exposition involontaire � l'internet. Pour ce faire, utilisez la r�gle suivante�:

iptables -P FORWARD DROP 

Apr�s avoir configur� les cha�nes de politique, vous pouvez cr�er de nouvelles r�gles pour votre r�seau et vos besoins de s�curit� particuliers. Les sections suivantes examinent certaines r�gles que vous pouvez impl�menter lors de la construction de votre pare-feu iptables.

7.2.2. Sauvegarde et restauration de r�gles iptables

Les r�gles de pare-feu sont uniquement valides lorsque l'ordinateur est allum�. Si le syst�me est red�marr�, les r�gles sont automatiquement supprim�es et r�initialis�es. Pour sauvegarder les r�gles afin qu'elles soient charg�es � une date ult�rieure, utilisez la commande suivante�:

/sbin/service iptables save

Les r�gles sont stock�es dans le fichier /etc/sysconfig/iptables et sont appliqu�es d�s que le service est lanc� ou red�marr�, y compris lorsque l'ordinateur est red�marr�.

 
 
  Published under the terms of the GNU General Public License Design by Interspire