LINUX:Firewall

Ligne 6 :

=IPTABLES=

Sous Linux, il existe plusieurs Firewall. Nous utilisons "iptables". L'autre, "nftables", commence à prendre plus d'importance.

Nous installons les modules suivants:

Ligne 34 :

Ligne 33 :

Comme nous avons désactivé IPV6, nous n'allons pas l'investiguer. Par sécurité, on garde une configuration qui bloque tout trafic et on lance le service concerné.

Nous nous focaliserons sur celui concernant IPV4.

Le protocole FTP, couramment utilisé sur Internet, est un peu spécial car il utilise en même temps deux ports, usuellement les 21 et 20. Il pose un gros problème pour le NAT. Cette spécifié nécessite de charger en mémoire des modules spéciaux qu'il faut spécifier. Ceci se fait dans le fichier de configuration "'''/etc/sysconfig/iptables-config'''". On y modifie la ligne suivante sans paramètres à l'origine en ajoutant les modules concernant FTP:

----

IPTABLES_MODULES="'''ip_nat_ftp ip_conntrack_ftp nf_conntrack_ftp'''"

----

IPTABLES comprend plusieurs tables.

Nous n'aborderons que les filtres NAT et FILTER.

Ligne 41 :

Ligne 48 :

Cette astuce se nomme NAT (Network address translation). Cette couche sert à faire paraître le trafic réseau comme appartenant à la bonne catégorie en fonction qu'il passe d'un côté ou de l'autre catégorie d'adressage. C'est là qu'intervient le NAT. De façon simpliste, quand un paquet du LAN privé veut passer vers Internet, ce processus substitue l'adresse IP privée en l'adresse publique. Quand la réponse revient d'Internet, il effectue l'opération inverse. Ce principe est d'application aussi dans l'autre sens mais avec des règles différentes non abordées dans ce paragraphe.

Le protocole FTP, couramment utilisé sur Internet, est un peu spécial car il utilise en même temps deux ports, usuellement les 21 et 20. Il pose un gros problème pour le NAT. Cette spécifié nécessite de charger en mémoire des modules spéciaux qu'il faut spécifier. Ceci se fait dans le fichier ~~de configuration~~ "'''/etc/sysconfig/iptables~~-config~~'''"~~. On y modifie~~ la ligne ~~suivante sans paramètres~~ en ~~ajoutant~~ les ~~modules concernant FTP~~:

Dans le fichier "'''/etc/sysconfig/iptables'''", la section concernant la table NET est signalée par la ligne:

----

*nat

----

et se clôture par la ligne:

----

COMMIT

----

Chaque table accepte un certain nombre de chaînes ayant chacune leur fonction propre dans le firewall. Il est possible de créer ses propres sous-chaînes comme des fonctions en programmation. En début on les déclare avec une politique donnée au démarrage et en fin on applique une nouvelle politique. Ainsi pour la table NAT nous avons:

----

~~IPTABLES_MODULES=~~"~~'''ip_nat_ftp ip_conntrack_ftp nf_conntrack_ftp'''~~"

*nat

:PREROUTING DROP [0:0]

:POSTROUTING DROP [0:0]

:INPUT DROP [0:0]

:OUTPUT DROP [0:0]

# Commentaire

#

# Bloc des règles personnelles

#

:PREROUTING ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:INPUT ACCEPT [0:0]

COMMIT

----

Dans notre cas, la fonction NAT doit intervenir quand un paquet veut sortir de nos LANs privés vers Internet par l'interface "ppp0". Nous allons ajouter la règle personnelle suivante:

----

-A POSTROUTING -o ppp0 -j MASQUERADE

----

Explications:

* -A: ajout de la rêgle

* POSTROUTING: cette chaîne intervient en fin de processus après l'opération de filtrage faite au niveau de la table FILTER.

* -o pppO: signifie quand on sort par l'interface "ppp0"

* -j MASQUERADE: effectue l'opération de passe-passe d(adressage IP

Le traitement à l'intérieur de chaque table/chaîne se fait de façon séquentielle en fonction de l'ordre d'ajout.

Une opération appelée derrière "-j" peut conduire à une sortie de traitement comme "MASQUERADE". D'autres comme "LOG" qui sert à imprimer un message dans le journal du système, laisse le traitement se poursuivre à la règle suivante.

On conçoit aisément que l'ordre des règles a un grande importance.

@@ Ligne 6 : / Ligne 6 : @@
 =IPTABLES=
 Sous Linux, il existe plusieurs Firewall. Nous utilisons "iptables". L'autre, "nftables", commence à prendre plus d'importance.
 Nous installons les modules suivants:
@@ Ligne 34 : / Ligne 33 : @@
 Comme nous avons désactivé IPV6, nous n'allons pas l'investiguer. Par sécurité, on garde une configuration qui bloque tout trafic et on lance le service concerné.
 Nous nous focaliserons sur celui concernant IPV4.
+Le protocole FTP, couramment utilisé sur Internet, est un peu spécial car il utilise en même temps deux ports, usuellement les 21 et 20. Il pose un gros problème pour le NAT. Cette spécifié nécessite de charger en mémoire des modules spéciaux qu'il faut spécifier. Ceci se fait dans le fichier de configuration "'''/etc/sysconfig/iptables-config'''". On y modifie la ligne suivante sans paramètres à l'origine en ajoutant les modules concernant FTP:
+----
+ IPTABLES_MODULES="'''ip_nat_ftp ip_conntrack_ftp nf_conntrack_ftp'''"
+----
+IPTABLES comprend plusieurs tables.
+Nous n'aborderons que les filtres NAT et FILTER.
@@ Ligne 41 : / Ligne 48 : @@
 Cette astuce se nomme NAT (Network address translation). Cette couche sert à faire paraître le trafic réseau comme appartenant à la bonne catégorie en fonction qu'il passe d'un côté ou de l'autre catégorie d'adressage. C'est là qu'intervient le NAT. De façon simpliste, quand un paquet du LAN privé veut passer vers Internet, ce processus substitue l'adresse IP privée en l'adresse publique. Quand la réponse revient d'Internet, il effectue l'opération inverse. Ce principe est d'application aussi dans l'autre sens mais avec des règles différentes non abordées dans ce paragraphe.
-Le protocole FTP, couramment utilisé sur Internet, est un peu spécial car il utilise en même temps deux ports, usuellement les 21 et 20. Il pose un gros problème pour le NAT. Cette spécifié nécessite de charger en mémoire des modules spéciaux qu'il faut spécifier. Ceci se fait dans le fichier de configuration "'''/etc/sysconfig/iptables-config'''". On y modifie la ligne suivante sans paramètres en ajoutant les modules concernant FTP:
+Dans le fichier "'''/etc/sysconfig/iptables'''", la section concernant la table NET est signalée par la ligne:
+----
+ *nat
+----
+et se clôture par la ligne:
+----
+ COMMIT
+----
+Chaque table accepte un certain nombre de chaînes ayant chacune leur fonction propre dans le firewall. Il est possible de créer ses propres sous-chaînes comme des fonctions en programmation. En début on les déclare avec une politique donnée au démarrage et en fin on applique une nouvelle politique. Ainsi pour la table NAT nous avons:
 ----
-  IPTABLES_MODULES="'''ip_nat_ftp ip_conntrack_ftp nf_conntrack_ftp'''"
+  *nat
+ :PREROUTING DROP [0:0]
+ :POSTROUTING DROP [0:0]
+ :INPUT DROP [0:0]
+ :OUTPUT DROP [0:0]
+ # Commentaire
+ #
+ # Bloc des règles personnelles
+ #
+ :PREROUTING ACCEPT [0:0]
+ :POSTROUTING ACCEPT [0:0]
+ :OUTPUT ACCEPT [0:0]
+ :INPUT ACCEPT [0:0]
+ COMMIT
+----
+Dans notre cas, la fonction NAT doit intervenir quand un paquet veut sortir de nos LANs privés vers Internet par l'interface "ppp0". Nous allons ajouter la règle personnelle suivante:
+----
+ -A POSTROUTING -o ppp0 -j MASQUERADE
 ----
+Explications:
+* -A: ajout de la rêgle
+* POSTROUTING: cette chaîne intervient en fin de processus après l'opération de filtrage faite au niveau de la table FILTER.
+* -o pppO: signifie quand on sort par l'interface "ppp0"
+* -j MASQUERADE: effectue l'opération de passe-passe d(adressage IP
+Le traitement à l'intérieur de chaque table/chaîne se fait de façon séquentielle en fonction de l'ordre d'ajout.
+Une opération appelée derrière "-j" peut conduire à une sortie de traitement comme "MASQUERADE". D'autres comme "LOG" qui sert à imprimer un message dans le journal du système, laisse le traitement se poursuivre à la règle suivante.
+On conçoit aisément que l'ordre des règles a un grande importance.

« LINUX:Firewall » : différence entre les versions

« LINUX:Firewall » : différence entre les versions