Archives mensuelles : avril 2019


Iptables – principales options

Iptables comme tout bon outil linux permet de recevoir de nombreuses options. Balayons ensemble les principales options. Ces options nombreuses peuvent se combiner. Bien souvent il peut être utile d’avoir recours à un fichier pour créer ces règles iptables. Cela permet d’organiser les règles et de les commenter surtout (les gitter également).

Découvrons ces options en vidéo :

  • -L : liste les règles (–line-numbers : numéros de règles) * -t : type (NAT…)
    -> Type d’actions chaines/règles Actions sur les chaines : INPUT / OUTPUT / FORWARD en majuscules
  • -A : ajout de règle à une chaine (-A INPUT)

  • -D : suppression de règle (-D INPUT 1 – numéro de la règle dans la chaine INPUT )

  • -R : remplace la règle (-R INPUT)

  • -I : insertion d’une règle (sans chiffre au début de la chaine (ex: INPUT 1)

  • -F : flush les règles pour une chaine (-F INPUT)

  • -N : création de chaîne

  • -X : drop de chaine

  • -P : définition de la policy d’une chaine (par défaut – ex: -P INPUT DROP)


-> Caractéristiques <-

  • -p : protocole (-p tcp)

  • -s : la source (ip, réseau)

  • -j : action à faire (DROP/ACCEPT)

  • -d : la destination (ip, réseau)

  • -i : interface d’entrée (eth0…)

  • -o : interface de sortie

  • –sport 80 : un port

  • -m multiport –sport 80,443 : plusieurs ports

  • -t : type (NAT…)


Iptables – Introduction et découverte du firewall

Iptables est l’un des parefeux parmi les plus connus. Gratuit à la différence de nombreux autres solutions, il est souvent utilisé pour réaliser des règles de flux et sécuriser des machines.

Bien sûr les plus grosses sociétés passent par des solutions payantes qui vont bien plus loin que iptables dans de nombreux domaines. Mais iptables permet de découvrir la gestion d’un firewall.

Dans cette première vidéo, nous allons découvrir les principes essentiels à avoir en tête lorsque l’on parle d’iptables.

-> Tables <-

  • la table NAT :
    • translation de ports et d’ip
    • deux localisations :
      • PREROUTING : amont parefeu
      • POSTROUTING : aval du parefeu
    • 3 targets :
      • DNAT : IP de destination
      • SNAT : IP source
      • MASQUERADE : simule une gateway

-> Tables <-

  • la table filter :
    • 3 chaines :
      • INPUT : les entrants
      • OUPUT : les sortants
      • FORWARD : les passants
    • 4 targets :
      • DROP : refus brut des paquets sans retour
      • ACCEPT : accepte les paquets
      • REJECT : rejet avec retour à l’expéditeur
      • DENY … LOG : logger les paquets sur la sortie standard

-> Tables <-

  • la table mangle : modification des paquets
    • 5 targets :
      • TOS : type de service (type of service)
      • TTL : durée de vie (time to live)
      • MARK : marquer les paquets (taggage)
      • SECMARK : marquage de sécurité (pour outils de sécurité type SE Linux)
      • CONNSECMARK : copie d’un cas de sécurité