iptables

Ceci est une ancienne révision du document !

IPTables - Installation et gestion de pare-feu

CréationNicolas THOREZ 2022/07/20 08:47

Un pare-feu est un élément indispensable à la sécurité d'un serveur. Il permet de de contrôler les flux réseaux entrants, sortants et/ou transitant par ce serveur en autorisant ou interdisant ces dît flux.

Le principe est simple : le pare-feu est composé de règles et de politiques globales. Lorsqu'un flux passe sur le serveur, il est automatiquement analysé par ce dernier selon son trajet (entrant, sortant, transit). Le pare-feu va comparer ce flux à chacune de ces règles jusqu'à la dernière (si tout est bien configuré, cette dernière règle est la politique globale). Dès qu'il trouve une correspondance, il applique la règle et passe au flux suivant.

Ordre des règles

L'ordre des règles de pare-feu est extrêmement importante, ce dernier traitant la première règle correspondante trouvée. Ainsi, si votre 1ère règle autorise ou refuse tous les flux, les suivantes ne seront jamais traitées. Il est donc indispensable de commencer la liste des règles par les plus spécifiques possibles et de terminer par les règles plus générales, la dernière devant toujours être la politique par défaut.

Politique par défaut

Pour des raisons de sécurité, les politiques par défaut sont généralement des refus (DROP).

Il est toujours préférable de tout interdire et de n'autoriser que les flux identifiés comme utiles ou nécessaires. Cependant, il arrive qu'une exception pour le flux sortant soit faite. La politique par défaut pour ce flux devient alors autorisé (ACCEPT), considérant que les flux de l'intérieur vers l'extérieur sont maitrisés et légitimes (ce qui n'est pas toujours le cas).

Installation de IPTables

Droits

Attention, l'installation et le paramétrage de IPTables nécessitent des droits root. La plus grande prudence est donc requise.
  • L'installation est assez simple :

apt update && apt upgrade -y iptables

  • On s'assure d'utiliser le bon programme de pare-feu :

update-alternatives --set iptables /usr/sbin/iptables-legacy

  • On active le démarrage automatique du service :

systemctl enable iptables

Le service iptables est désormais installé, on peut vérifier les règles actuelles avec la commande : 

iptables -L -n

Discussion

Entrer votre commentaire. La syntaxe wiki est autorisée:
 
  • iptables.1658302512.txt.gz
  • Dernière modification : 2022/07/20 09:35
  • de nekan