« LINUX:Firewall » : différence entre les versions
Aucun résumé des modifications |
Aucun résumé des modifications |
||
| Ligne 48 : | Ligne 48 : | ||
Cette astuce se nomme NAT (Network address translation). Cette couche sert à faire paraître le trafic réseau comme appartenant à la bonne catégorie en fonction qu'il passe d'un côté ou de l'autre catégorie d'adressage. C'est là qu'intervient le NAT. De façon simpliste, quand un paquet du LAN privé veut passer vers Internet, ce processus substitue l'adresse IP privée en l'adresse publique. Quand la réponse revient d'Internet, il effectue l'opération inverse. Ce principe est d'application aussi dans l'autre sens mais avec des règles différentes non abordées dans ce paragraphe. | Cette astuce se nomme NAT (Network address translation). Cette couche sert à faire paraître le trafic réseau comme appartenant à la bonne catégorie en fonction qu'il passe d'un côté ou de l'autre catégorie d'adressage. C'est là qu'intervient le NAT. De façon simpliste, quand un paquet du LAN privé veut passer vers Internet, ce processus substitue l'adresse IP privée en l'adresse publique. Quand la réponse revient d'Internet, il effectue l'opération inverse. Ce principe est d'application aussi dans l'autre sens mais avec des règles différentes non abordées dans ce paragraphe. | ||
Dans le fichier "'''/etc/sysconfig/iptables'''", la section concernant la table | Dans le fichier "'''/etc/sysconfig/iptables'''", la section concernant la table NAT est signalée par la ligne: | ||
---- | ---- | ||
*nat | *nat | ||
| Ligne 77 : | Ligne 77 : | ||
* -A: ajout de la rêgle | * -A: ajout de la rêgle | ||
* POSTROUTING: cette chaîne intervient en fin de processus après l'opération de filtrage faite au niveau de la table FILTER. | * POSTROUTING: cette chaîne intervient en fin de processus après l'opération de filtrage faite au niveau de la table FILTER. | ||
* -o | * -o ppp0: signifie quand on sort par l'interface "ppp0" | ||
* -j MASQUERADE: effectue l'opération de passe-passe d'adressage IP | * -j MASQUERADE: effectue l'opération de passe-passe d'adressage IP | ||
| Ligne 112 : | Ligne 112 : | ||
[[FILE:LINUX:Fw2.output.png|300px]] | [[FILE:LINUX:Fw2.output.png|300px]] | ||
[[FILE:LINUX:Fw2.forward.png|300px]] | [[FILE:LINUX:Fw2.forward.png|300px]] | ||
La table FILTER a la même structure que la table NAT à part qu'elle ne dispose que des chaînes INPUT, OUTPUT et FORWARD. | |||
En début de chaîne, il faut toujours traiter les réponses données aux requêtes par analyse du statut. Ensuite viennent le traitement de filtrage proprement dit des nouvelles requêtes. | |||
Nous avons respectivement pour les trois chaînes les lignes suivantes que pour une question de lisibilité, on peut placer en tête de chaque groupe de chaîne. | |||
---- | |||
-A INPUT -p icmp -j ACCEPT | |||
-A OUTPUT -p icmp -j ACCEPT | |||
-A FORWARD -p icmp -j ACCEPT | |||
-A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A INPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A OUTPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A OUTPUT -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
-A FORWARD -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
---- | |||
Notons que cette étape d'acceptation doit être absolument affinée car les statuts sont multiples; les cas de figures à refuser sont nombreux. Il ne faut pas oublier que plus tôt le cas est traité moins de ressources sont consommées. Internet regorge de conseils de filtrages additionnels dont certains se placent plus tôt dans la suite des traitements notamment dans la table MANGLE dont je n'ai pas parlé. Un autre auteur parlait du "bordel d'Internet" à filtrer; les pirates de tout poil sont légions et leurs idées nombreuses. Ici la création de ses propres chaînes est d'un grand secours pour alléger le code et le rendre plus lisible. | |||