Le guide du débutant sur iptables, le pare-feu Linux

Iptables est un utilitaire de pare-feu extrêmement flexible conçu pour les systèmes d'exploitation Linux. Que vous soyez un geek novice de Linux ou un administrateur système, iptables peut probablement vous être d'une grande utilité. Continuez à lire pendant que nous vous montrons comment configurer le pare-feu Linux le plus polyvalent.

Photo par ezioman .

À propos d'iptables

iptables est un utilitaire de pare-feu de ligne de commande qui utilise des chaînes de règles pour autoriser ou bloquer le trafic. Lorsqu'une connexion tente de s'établir sur votre système, iptables recherche une règle dans sa liste pour la faire correspondre. S'il n'en trouve pas, il recourt à l'action par défaut.

iptables est presque toujours préinstallé sur n'importe quelle distribution Linux. Pour le mettre à jour / l'installer, récupérez simplement le package iptables:

sudo apt-get install iptables

Il existe des alternatives GUI à iptables comme Firestarter, mais iptables n'est pas vraiment si difficile une fois que vous avez quelques commandes. Vous devez être extrêmement prudent lors de la configuration des règles iptables, en particulier si vous êtes connecté en SSH à un serveur, car une mauvaise commande peut vous verrouiller définitivement jusqu'à ce qu'elle soit corrigée manuellement sur la machine physique.

Types de chaînes

iptables utilise trois chaînes différentes: entrée, avant et sortie.

Entrée - Cette chaîne est utilisée pour contrôler le comportement des connexions entrantes. Par exemple, si un utilisateur tente de SSH sur votre PC / serveur, iptables tentera de faire correspondre l'adresse IP et le port à une règle dans la chaîne d'entrée.

En avant - Cette chaîne est utilisée pour les connexions entrantes qui ne sont pas réellement livrées localement. Pensez à un routeur - les données lui sont toujours envoyées mais rarement destinées au routeur lui-même; les données sont simplement transmises à leur cible. À moins que vous ne fassiez une sorte de routage, de NAT ou autre sur votre système qui nécessite un transfert, vous n'utiliserez même pas cette chaîne.

Il existe un moyen sûr de vérifier si votre système utilise / a besoin ou non de la chaîne avant.

iptables -L -v

La capture d'écran ci-dessus est celle d'un serveur qui fonctionne depuis quelques semaines et qui n'a aucune restriction sur les connexions entrantes ou sortantes. Comme vous pouvez le voir, la chaîne d'entrée a traité 11 Go de paquets et la chaîne de sortie a traité 17 Go. La chaîne avant, d'autre part, n'a pas besoin de traiter un seul paquet. En effet, le serveur n'effectue aucun type de transfert ou n'est utilisé comme périphérique d'intercommunication.

Sortie - Cette chaîne est utilisée pour les connexions sortantes. Par exemple, si vous essayez d'envoyer un ping à howtogeek.com, iptables vérifiera sa chaîne de sortie pour voir quelles sont les règles concernant le ping et howtogeek.com avant de prendre la décision d'autoriser ou de refuser la tentative de connexion.

La mise en garde

Même si le ping d'un hôte externe semble être quelque chose qui aurait seulement besoin de traverser la chaîne de sortie, gardez à l'esprit que pour renvoyer les données, la chaîne d'entrée sera également utilisée. Lorsque vous utilisez iptables pour verrouiller votre système, rappelez-vous que de nombreux protocoles nécessitent une communication bidirectionnelle, de sorte que les chaînes d'entrée et de sortie doivent être configurées correctement. SSH est un protocole commun que les gens oublient d'autoriser sur les deux chaînes.

Comportement par défaut de la chaîne de stratégies

Avant d'entrer et de configurer des règles spécifiques, vous voudrez décider du comportement par défaut des trois chaînes. En d'autres termes, que voulez-vous que iptables fasse si la connexion ne correspond à aucune règle existante?

Pour voir ce que vos chaînes de stratégies sont actuellement configurées pour faire avec un trafic sans correspondance, exécutez la iptables -Lcommande.

Comme vous pouvez le voir, nous avons également utilisé la commande grep pour nous donner une sortie plus propre. Dans cette capture d'écran, nos chaînes sont actuellement censées accepter le trafic.

Plus souvent qu'autrement, vous voudrez que votre système accepte les connexions par défaut. Sauf si vous avez modifié les règles de la chaîne de stratégies précédemment, ce paramètre doit déjà être configuré. Dans tous les cas, voici la commande pour accepter les connexions par défaut:

iptables --policy INPUT ACCEPT


iptables --policy OUTPUT ACCEPT


iptables --policy FORWARD ACCEPT

En utilisant la règle d'acceptation par défaut, vous pouvez ensuite utiliser iptables pour refuser des adresses IP ou des numéros de port spécifiques, tout en continuant d'accepter toutes les autres connexions. Nous arriverons à ces commandes dans une minute.

Si vous préférez refuser toutes les connexions et spécifier manuellement celles que vous souhaitez autoriser à se connecter, vous devez modifier la politique par défaut de vos chaînes pour qu'elle les abandonne. Cela ne serait probablement utile que pour les serveurs qui contiennent des informations sensibles et qui ne disposent que des mêmes adresses IP.

iptables --policy INPUT DROP


iptables --policy OUTPUT DROP


iptables --policy FORWARD DROP

Réponses spécifiques à la connexion

Avec vos stratégies de chaîne par défaut configurées, vous pouvez commencer à ajouter des règles à iptables pour qu'il sache quoi faire lorsqu'il rencontre une connexion depuis ou vers une adresse IP ou un port particulier. Dans ce guide, nous allons passer en revue les trois «réponses» les plus élémentaires et les plus couramment utilisées.

Accepter - Autorise la connexion.

Drop - Supprimez la connexion, agissez comme si cela ne s'était jamais produit. C'est mieux si vous ne voulez pas que la source réalise que votre système existe.

Rejeter - Ne pas autoriser la connexion, mais renvoyer une erreur. C'est mieux si vous ne voulez pas qu'une source particulière se connecte à votre système, mais que vous voulez qu'elle sache que votre pare-feu les a bloquées.

La meilleure façon de montrer la différence entre ces trois règles est de montrer à quoi cela ressemble quand un PC essaie d'envoyer une requête ping à une machine Linux avec iptables configuré pour chacun de ces paramètres.

Autoriser la connexion:

Arrêt de la connexion:

Rejeter la connexion:

Autoriser ou bloquer des connexions spécifiques

Une fois vos chaînes de stratégies configurées, vous pouvez désormais configurer iptables pour autoriser ou bloquer des adresses, des plages d'adresses et des ports spécifiques. Dans ces exemples, nous définirons les connexions sur DROP, mais vous pouvez les basculer sur ACCEPTou REJECT, en fonction de vos besoins et de la façon dont vous avez configuré vos chaînes de stratégies.

Remarque: Dans ces exemples, nous allons utiliser iptables -Apour ajouter des règles à la chaîne existante. iptables commence en haut de sa liste et parcourt chaque règle jusqu'à ce qu'il en trouve une qui lui correspond. Si vous devez insérer une règle au-dessus d'une autre, vous pouvez utiliser iptables -I [chain] [number]pour spécifier le numéro qu'elle doit figurer dans la liste.

Connexions à partir d'une seule adresse IP

Cet exemple montre comment bloquer toutes les connexions à partir de l'adresse IP 10.10.10.10.

iptables -A INPUT -s 10.10.10.10 -j DROP

Connexions à partir d'une plage d'adresses IP

Cet exemple montre comment bloquer toutes les adresses IP dans la plage réseau 10.10.10.0/24. Vous pouvez utiliser un masque de réseau ou une notation barre oblique standard pour spécifier la plage d'adresses IP.

iptables -A INPUT -s 10.10.10.0/24 -j DROP

ou

iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP

Connexions à un port spécifique

Cet exemple montre comment bloquer les connexions SSH à partir de 10.10.10.10.

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP

Vous pouvez remplacer «ssh» par n'importe quel protocole ou numéro de port. La -p tcppartie du code indique à iptables quel type de connexion le protocole utilise. Si vous bloquez un protocole qui utilise UDP plutôt que TCP, ce -p udpserait alors nécessaire à la place.

Cet exemple montre comment bloquer les connexions SSH à partir de n'importe quelle adresse IP.

iptables -A INPUT -p tcp --dport ssh -j DROP

États de connexion

Comme nous l'avons mentionné précédemment, de nombreux protocoles nécessitent une communication bidirectionnelle. Par exemple, si vous souhaitez autoriser les connexions SSH à votre système, les chaînes d'entrée et de sortie auront besoin d'une règle ajoutée. Mais que se passe-t-il si vous voulez que SSH ne soit autorisé dans votre système? L'ajout d'une règle à la chaîne de sortie n'autorise-t-il pas également les tentatives SSH sortantes?

C'est là qu'interviennent les états de connexion, ce qui vous donne la capacité dont vous avez besoin pour autoriser la communication bidirectionnelle, mais n'autorise que l'établissement de connexions à sens unique. Jetez un œil à cet exemple, où les connexions SSH FROM 10.10.10.10 sont autorisées, mais les connexions SSH TO 10.10.10.10 ne le sont pas. Cependant, le système est autorisé à renvoyer des informations via SSH tant que la session a déjà été établie, ce qui rend la communication SSH possible entre ces deux hôtes.

iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT

Enregistrer les modifications

Les modifications que vous apportez à vos règles iptables seront supprimées la prochaine fois que le service iptables sera redémarré, sauf si vous exécutez une commande pour enregistrer les modifications. Cette commande peut différer selon votre distribution:

Ubuntu:

sudo /sbin/iptables-save

Red Hat / CentOS:

/sbin/service iptables save

Ou

/etc/init.d/iptables save

Autres commandes

Répertoriez les règles iptables actuellement configurées:

iptables -L

L'ajout de l' -voption vous donnera des informations sur les paquets et les octets, et l'ajout -nlistera tout numériquement. En d'autres termes, les noms d'hôte, les protocoles et les réseaux sont répertoriés sous forme de nombres.

Pour effacer toutes les règles actuellement configurées, vous pouvez émettre la commande flush.

iptables -F