Installation parefeu (iptables) "pour les nuls"
Date de publication : 05.02.2007
I. Introduction
Voici une sorte de 'tuto' destiné à l'installation primaire d'un pare-feu (ou parefeu) sous Debian. Ce qui suit n'a pas pour objectif de renseigner les utilisateurs accomplis, qui n'y apprendront rien de plus que ce qu'ils savent mais est plutôt dirigé vers les débutants, avec un maximum d'explications.
II. Préambule
En principe, le paquet 'iptables' est installé d'origine sous Debian mais si ce n'était pas le cas, rien de plus simple à faire :
apt-get install iptables
Dans ce 'tuto', la majeure partie des commandes se feront à partir de la console (petite télé noire qui sert, entre-autres, à entrer ces commandes).Ces commandes seront entrées sous la forme :
login@nom_machine:~$ sudo la_commande_à_taper
mais par la suite, je n'écrirai que la commande proprement dite, il vous appartiendra donc de la faire précéder par 'sudo'. Il est préférable d'utiliser 'sudo' plutôt que de taper en tant que 'root', pour des raisons de sécurité mais il est possible que certaines commandes ne soient pas prises en compte de cette façon. Il vous faudra alors taper en tant que 'root' ( su et mot de passe = # au lieu de $ ). Si vous n'avez pas installé 'sudo', faites une recherche sur le forum d'aide ou posez la question.
III. Installation
A l'origine, le pare-feu est installé mais il est ouvert à toutes les communications, c'est en quelque sorte, une 'passoire' et de ce fait, il ne rempli pas ses objectifs. Dans un premier temps, il va nous falloir installer un 'script' qui sera le "donneur d'ordre".
Créez le fichier 'mon_parefeu' :
touch /etc/init.d/mon_parefeu
Rendez ce fichier (pour l'instant, vide) exécutable avec :
chmod +x /etc/init.d/mon_parefeu
Ouvrez kedit (ou tout autre traitement de texte) à partir de la console pour être 'root' :
kedit
Dans kedit, ouvrez le fichier /etc/init.d/mon_parefeu et collez-y le code ci-dessous :
#!/bin/sh
# chargement/déchargement d'iptables
case "$1" in
'start')
/sbin/iptables-restore < /etc/config_parefeu
RETVAL=$?
;;
'stop')
/sbin/iptables-save > /etc/config_parefeu
RETVAL=$?
;;
'clean')
# clean le parefeu pendant que la machine tourne
# ça peut être une faille de sécurite si on l'exécute lors de l'extinction avant l'arrêt des interfaces
# pensez à refaire un start après sinon la sauvegarde se fera automatiquement à l'extinction
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
RETVAL=$?
;;
'restart')
$0 stop && $0 start
RETVAL=$?
;;
*)
echo "Usage: $0 { start | stop | restart | clean}"
RETVAL=1
;;
esac
exit $RETVAL
Sauvegardez et fermez kedit, retournez à la console pour réinitialiser le pare-feu à blanc avec :
/etc/init.d/mon_parefeu clean
IV. Configuration
Tapez les séquences suivantes (une ligne à la fois suivi de 'Entrée') :
Pour un parefeu sans réseau :
iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #(ftp) iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #(ftp) iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #(ssh) iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #(web) iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT #(imprimante)
Pour un parefeu sur une machine serveur dhcp :
iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT iptables -A INPUT -i ethx -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT8 iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j DROP iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT #(ftp) iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT #(ftp) iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT #(ssh) iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT #(web) iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT #(imprimante) iptables -A FORWARD -i ethy -o ethx -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o ethy -j ACCEPT iptables -t nat -A POSTROUTING -o ethy -j MASQUERADE
Où ethx correspond à l'interface du LAN et ethy correspond à l'interface relié à la truc-box
Sauvegardez le pare-feu une première fois (simulation d'un signal d'arrêt) avec :
/etc/init.d/mon_parefeu stop
Activez 'mon_parefeu' pour les différents 'runlevel' avec :
update-rc.d mon_parefeu defaults 19 21
V. Modifications
Nous allons aborder maintenant la façon de modifier notre pare-feu
-- Ajouter une règle :
- on connaît le nom du port à autoriser, taper :
iptables -A INPUT -p tcp -m tcp --dport www -J ACCEPT (où 'www' est le nom du serveur http)
- on connaît le numéro du port, taper :
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT (où '80' est le N° de ce même http)
Pour connaître le numéro d'un grand nombre de port, tapez :
less /etc/services
Pour les explications des différentes options, vous pourrez avantageusement consulter :
man iptables
ou
iptables --help
-- Enlever une règle :
taper ce qui suit pour connaître le numéro de ligne de cette règle
iptables -L --line-numbers
puis taper
iptables -D INPUT (ou FORWARD) N° (où 'N°' doit être le chiffre ou nombre en tête de la ligne à supprimer)
Vous pourrez modifier l'exemple présenté plus haut à votre convenance (ajouter ou retirer ce que vous voudrez). Toutefois, il convient de ne pas supprimer les trois lignes suivantes :
-A INPUT -i lo -j ACCEPT ((C'est la communication du noyau avec les services réseau éventuels, et c'est critique)). -A INPUT -p icmp -j DROP ((Ça permet d'éviter d'être detectable par un ping, face aux attaques, mais ce n'est pas critique)). -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT ((ça permet le retour vers la machine des infos demandées auprès des sites web. En l'absence de cette règle, la navigation deviendrait difficile. C'est relativement important )).
Après chaque modification, il vous faudra sauvegarder de nouveau votre pare-feu avec :
/etc/init.d/mon_parefeu stop
ou attendre un redémarrage qui fera la même chose automatiquement. Si vous voulez revenir à l'état que vous aviez au présent démarrage, vous tapez :
/etc/init.d/mon_parefeu start
Si vous voulez revenir à un pare-feu vierge, vous tapez :
/etc/init.d/mon_parefeu clean
VI. Conclusion
Ce qui précède concerne la partie 'Filter' d'un pare-feu. Ça assure un minimum de protection mais c'est loin d'être exhaustif. Je laisse à d'autres, plus 'pointus' que moi, le soin d'expliquer les parties plus complexes, telles que Raw, Mangle et Nat. J'espère que ce 'tuto', encore une fois réservé aux débutants, vous aura permis de mieux appréhender le pare-feu sous Debian. L'aide de tous les amis de ce forum et particulièrement celle du Papa de Lillo, a été indispensable à sa rédaction. Merci à eux !
Annexe
Voila un petit script pour automatiser tout cela, il reste à compléter par vos règles avant de le lancer ;)
#!/bin/sh
# Script de démarrage iptables by Ashgenesis
# Utilisation ##################
# Mettre le script executable et le lancer
# sous l'utilisateur root ou avec les droits
# administrateur
# Rajouter les règles spécifiques a votre
# config le cas écheant
#########################
#cp ./firewall.sh /etc/init.d/firewall.sh
echo -e "#!/bin/sh
# chargement/dechargement d'iptables
case \"\$1\" in
'start')
/sbin/iptables-restore < /etc/firewall.conf
RETVAL=\$?
;;
'stop')
/sbin/iptables-save > /etc/firewall.conf
RETVAL=\$?
;;
'clean')
# clean le parefeu pendant que la machine tourne
# ca peut être une faille de securite si on l'execute lors de l'extinction avant l'arret des interfaces
# pensez à refaire un start apres sinon la sauvegarde se fera automatiquement à l'extinction
/sbin/iptables -t filter -F
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -t raw -F
/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t raw -P OUTPUT ACCEPT
/sbin/iptables -t raw -P PREROUTING ACCEPT
RETVAL=\$?
;;
'restart')
\$0 stop && \$0 start
RETVAL=\$?
;;
'status')
/sbin/iptables-save
RETVAL=\$?
;;
*)
echo \"Usage: \$0 { start | stop | restart | clean | status }\"
RETVAL=1
;;
esac
exit \$RETVAL
" > /etc/init.d/firewall.sh
#####################################
# Initialisation
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t raw -F
# Règles par défault
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# Autorisation de loopback (logique)
iptables -t filter -A INPUT -i lo -j ACCEPT
# Autorisation des connections déjà établies
iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#####################################
# Rajouter ici les regles spécifiques à votre utilisation
#####################################
iptables-save > /etc/firewall.conf
chmod +x /etc/init.d/firewall.sh
update-rc.d firewall.sh defaults 19 21