Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision Les deux révisions suivantes
iptables [Le 21/03/2018, 11:42]
185.34.33.2 [Script iptables]
iptables [Le 10/03/2019, 14:57]
88.164.62.167 correction de minis typos
Ligne 23: Ligne 23:
 Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d'​abord créer les autorisations,​ puis nous enverrons le reste en enfer. Afin de ne pas avoir de problème au moment où on crée ces règles, nous allons d'​abord créer les autorisations,​ puis nous enverrons le reste en enfer.
  
-En tapant « ''​sudo iptables -L''​ », une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n'avez encore jamais touché à //​iptables//,​ les chaines ​sont vides, et vous devriez voir :+En tapant « ''​sudo iptables -L''​ », une liste de vos règles actuelles est affichée. Si vous (ou un logiciel) n'avez encore jamais touché à //​iptables//,​ les chaînes ​sont vides, et vous devriez voir :
 <​code>​ <​code>​
 Chain INPUT (policy ACCEPT) Chain INPUT (policy ACCEPT)
Ligne 67: Ligne 67:
 # iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT # iptables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
 </​code>​ </​code>​
-Cette commande ajoute une règle (''​-A''​) à la chaine ​contrôlant le trafic entrant //INPUT//, pour autoriser le trafic (''​-j ACCEPT''​),​ vers l'​interface (''​-i''​) //eth0// et à destination du port (''<​nowiki>​--dport</​nowiki>''​) //SSH// (on aurait pu mettre 22).+Cette commande ajoute une règle (''​-A''​) à la chaîne ​contrôlant le trafic entrant //INPUT//, pour autoriser le trafic (''​-j ACCEPT''​),​ vers l'​interface (''​-i''​) //eth0// et à destination du port (''<​nowiki>​--dport</​nowiki>''​) //SSH// (on aurait pu mettre 22).
  
 Maintenant vous pouvez vérifier vos règles iptables : Maintenant vous pouvez vérifier vos règles iptables :
Ligne 98: Ligne 98:
  
 Maintenant que nous avons fini avec les autorisations,​ il faut maintenant bloquer le reste. Maintenant que nous avons fini avec les autorisations,​ il faut maintenant bloquer le reste.
-Nous allons en fait modifier la « politique par défaut » (//​policy//​) de la chaine ​//INPUT// : cette décision (//DROP//) s'​applique ​lorsqu'​aucune règle n'a été appliquée à un paquet. Donc, si la tentative de connexion n'est permise par aucune des règles précédentes,​ elle sera rejetée.+Nous allons en fait modifier la « politique par défaut » (//​policy//​) de la chaîne ​//INPUT// : cette décision (//DROP//) s'​applique ​lorsque ​aucune règle n'a été appliquée à un paquet. Donc, si la tentative de connexion n'est permise par aucune des règles précédentes,​ elle sera rejetée.
  
 <​code>​ <​code>​
Ligne 110: Ligne 110:
 </​code>​ </​code>​
  
-**Un autre moyen de procéder** est l'​ajout en fin de chaine ​d'une règle supprimant les paquets (les paquets autorisés par les règles précédentes n'​atteindraient pas celle-ci), //via// ''​iptables -A INPUT -j DROP'',​ mais il faudrait alors faire attention à la position des futures règles.+**Un autre moyen de procéder** est l'​ajout en fin de chaîne ​d'une règle supprimant les paquets (les paquets autorisés par les règles précédentes n'​atteindraient pas celle-ci), //via// ''​iptables -A INPUT -j DROP'',​ mais il faudrait alors faire attention à la position des futures règles.
  
 === Autoriser le trafic local === === Autoriser le trafic local ===
Ligne 144: Ligne 144:
 Si vous vous êtes trompé dans la création d'une règle et que cela vous bloque une connexion, vous pouvez supprimer une seule entrée plutôt que de tout réinitialiser. Si vous vous êtes trompé dans la création d'une règle et que cela vous bloque une connexion, vous pouvez supprimer une seule entrée plutôt que de tout réinitialiser.
  
-Tout d'​abord vous listez l'​ensemble de vos régles ​avec l'​affichage des lignes :+Tout d'​abord vous listez l'​ensemble de vos règles ​avec l'​affichage des lignes :
 <​code>​ <​code>​
 iptables -L --line-numbers iptables -L --line-numbers
Ligne 168: Ligne 168:
 Je souhaite supprimer la ligne 2 de la chaîne OUTPUT Je souhaite supprimer la ligne 2 de la chaîne OUTPUT
  
-Syntaxe : iptables -D chaine ​numéro_de_ligne+Syntaxe : iptables -D chaîne ​numéro_de_ligne
  
 <​code>​ <​code>​
  • iptables.txt
  • Dernière modification: Le 16/09/2023, 20:30
  • par 162.247.74.206