WIKI sur Linux (ADB)

« LINUX:Firewall » : différence entre les versions

← Modification précédenteModification suivante →
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 92 : Ligne 92 :
Une opération appelée derrière "-j" peut conduire à une sortie de traitement comme "MASQUERADE". D'autres comme "LOG" qui sert à imprimer un message dans le journal du système, laisse le traitement se poursuivre à la règle suivante.
Une opération appelée derrière "-j" peut conduire à une sortie de traitement comme "MASQUERADE". D'autres comme "LOG" qui sert à imprimer un message dans le journal du système, laisse le traitement se poursuivre à la règle suivante.
On conçoit aisément que l'ordre des règles a un grande importance.
On conçoit aisément que l'ordre des règles a un grande importance.
=Notions de flux=
Remarquons que ce qui suit est présenté de façon très simple pour pouvoir comprendre la suite.
Quand une machine (client) émet une requête vers une autre machine (serveur), le statut de ce paquet est "'''NEW'''". Le serveur la refuse ou l'accepte. S'il y a acceptation, la suite du flux aura le statut "'''ESTABLISHED'''" car une connexion a été établie et il n'y a pas lieu d'en établir une seconde. Il y a quelques cas particuliers comme le protocole FTP qui utilise deux ports (21 et 20); dans ce cas un statut "RELATED" est également utilisé pour ouvrir le second port nécessaire. Le protocole ICMP en a également besoin.




Ligne 107 : Ligne 100 :
* FORWARD: pour traiter tout le trafic transitant au travers de la machine, ce qui est le rôle principal d'un routeur
* FORWARD: pour traiter tout le trafic transitant au travers de la machine, ce qui est le rôle principal d'un routeur


La table FILTER a la même structure que la table NAT à part qu'elle ne dispose que des chaînes INPUT, OUTPUT et FORWARD.
En début du fichier de commandes "/etc/sysconfig/iptables", on déclare ces chaînes de cette table avec une politique donnée au démarrage.
En début du fichier de commandes "/etc/sysconfig/iptables", on déclare ces chaînes de cette table avec une politique donnée au démarrage.
----
----
Ligne 145 : Ligne 139 :




La table FILTER a la même structure que la table NAT à part qu'elle ne dispose que des chaînes INPUT, OUTPUT et FORWARD.
==Notions de flux==
Remarquons que ce qui suit est présenté de façon très simple pour pouvoir comprendre la suite.
 
Quand une machine (client) émet une requête vers une autre machine (serveur), le statut de ce paquet est "'''NEW'''". Le serveur la refuse ou l'accepte. S'il y a acceptation, la suite du flux aura le statut "'''ESTABLISHED'''" car une connexion a été établie et il n'y a pas lieu d'en établir une seconde. Il y a quelques cas particuliers comme le protocole FTP qui utilise deux ports (21 et 20); dans ce cas un statut "RELATED" est également utilisé pour ouvrir le second port nécessaire. Le protocole ICMP en a également besoin.




Ligne 238 : Ligne 235 :


==Refus final==
==Refus final==
En fin de filtrage, il ne faut pas oublier de refuser globalement tout ce qui n(a pas été accepté; n'oublions pas que la politique par défaut est "ACCEPT". On peut en profiter pour lister dans les messages du système ces cas qui nous ont échappé. Cette étape est à faire pour les trois chaînes.
En fin de filtrage, il ne faut pas oublier de refuser globalement tout ce qui n'a pas été accepté; n'oublions pas que la politique par défaut est "ACCEPT". On peut en profiter pour lister dans les messages du système ces cas qui nous ont échappé. Cette étape est à faire pour les trois chaînes.
----
----
  -A INPUT  -j LOG --log-level debug --log-prefix "INPUT-REFUS"
  -A INPUT  -j LOG --log-level debug --log-prefix "INPUT-REFUS"
Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:Firewall"