Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
iptables [Le 21/03/2018, 11:42] 185.34.33.2 [Script iptables] |
iptables [Le 10/03/2019, 14:57] 88.164.62.167 correction de minis typos |
||
---|---|---|---|
Ligne 23: | Ligne 23: | ||
Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d'abord créer les autorisations, puis nous enverrons le reste en enfer. | Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d'abord créer les autorisations, puis nous enverrons le reste en enfer. | ||
- | En tapant « ''sudo iptables -L'' », une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n'avez encore jamais touché à //iptables//, les chaines sont vides, et vous devriez voir : | + | En tapant « ''sudo iptables -L'' », une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n'avez encore jamais touché à //iptables//, les chaînes sont vides, et vous devriez voir : |
<code> | <code> | ||
Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
Ligne 67: | Ligne 67: | ||
# iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT | # iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT | ||
</code> | </code> | ||
- | Cette commande ajoute une règle (''-A'') à la chaine contrôlant le trafic entrant //INPUT//, pour autoriser le trafic (''-j ACCEPT''), vers l'interface (''-i'') //eth0// et à destination du port (''<nowiki>--dport</nowiki>'') //SSH// (on aurait pu mettre 22). | + | Cette commande ajoute une règle (''-A'') à la chaîne contrôlant le trafic entrant //INPUT//, pour autoriser le trafic (''-j ACCEPT''), vers l'interface (''-i'') //eth0// et à destination du port (''<nowiki>--dport</nowiki>'') //SSH// (on aurait pu mettre 22). |
Maintenant vous pouvez vérifier vos règles iptables : | Maintenant vous pouvez vérifier vos règles iptables : | ||
Ligne 98: | Ligne 98: | ||
Maintenant que nous avons fini avec les autorisations, il faut maintenant bloquer le reste. | Maintenant que nous avons fini avec les autorisations, il faut maintenant bloquer le reste. | ||
- | Nous allons en fait modifier la « politique par défaut » (//policy//) de la chaine //INPUT// : cette décision (//DROP//) s'applique lorsqu'aucune règle n'a été appliquée à un paquet. Donc, si la tentative de connexion n'est permise par aucune des règles précédentes, elle sera rejetée. | + | Nous allons en fait modifier la « politique par défaut » (//policy//) de la chaîne //INPUT// : cette décision (//DROP//) s'applique lorsque aucune règle n'a été appliquée à un paquet. Donc, si la tentative de connexion n'est permise par aucune des règles précédentes, elle sera rejetée. |
<code> | <code> | ||
Ligne 110: | Ligne 110: | ||
</code> | </code> | ||
- | **Un autre moyen de procéder** est l'ajout en fin de chaine d'une règle supprimant les paquets (les paquets autorisés par les règles précédentes n'atteindraient pas celle-ci), //via// ''iptables -A INPUT -j DROP'', mais il faudrait alors faire attention à la position des futures règles. | + | **Un autre moyen de procéder** est l'ajout en fin de chaîne d'une règle supprimant les paquets (les paquets autorisés par les règles précédentes n'atteindraient pas celle-ci), //via// ''iptables -A INPUT -j DROP'', mais il faudrait alors faire attention à la position des futures règles. |
=== Autoriser le trafic local === | === Autoriser le trafic local === | ||
Ligne 144: | Ligne 144: | ||
Si vous vous êtes trompé dans la création d'une règle et que cela vous bloque une connexion, vous pouvez supprimer une seule entrée plutôt que de tout réinitialiser. | Si vous vous êtes trompé dans la création d'une règle et que cela vous bloque une connexion, vous pouvez supprimer une seule entrée plutôt que de tout réinitialiser. | ||
- | Tout d'abord vous listez l'ensemble de vos régles avec l'affichage des lignes : | + | Tout d'abord vous listez l'ensemble de vos règles avec l'affichage des lignes : |
<code> | <code> | ||
iptables -L --line-numbers | iptables -L --line-numbers | ||
Ligne 168: | Ligne 168: | ||
Je souhaite supprimer la ligne 2 de la chaîne OUTPUT | Je souhaite supprimer la ligne 2 de la chaîne OUTPUT | ||
- | Syntaxe : iptables -D chaine numéro_de_ligne | + | Syntaxe : iptables -D chaîne numéro_de_ligne |
<code> | <code> |