Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Iptables wan dmz lan Introduction Cet article présente de façon pratique la mise en place d'un pare-feu en anglais ?rewall ou d'un proxy sur une machine GNU Linux tournant au minimum avec un noyau Pour des informations plus théoriques sur les pare-feux et

Introduction Cet article présente de façon pratique la mise en place d'un pare-feu en anglais ?rewall ou d'un proxy sur une machine GNU Linux tournant au minimum avec un noyau Pour des informations plus théoriques sur les pare-feux et les proxys vous pouvez lire l'article pare-feu Présentation d'iptables iptables est une solution complète de pare-feu pour le système GNU Linux depuis le noyau remplaçant ipchains le pare-feu du noyau iptables permet de faire du ?rewalling à états stateful de la translation de port et d'adresse du ?ltrage au niveau et beaucoup d'autres choses que nous n'allons pas aborder comme le mangle ? ou modi ?cation des paquets à la volée atchoum iptables est ?able et dispose de très nombreuses options qui permettent de faire du ?ltrage très ?n Précisons dès maintenant que le module qui fournit au noyau Linux les fonctions de pare- feu de partage de connexions internet NAT et d'historisation du tra ?c réseau s'appelle Net ?lter iptables est en fait juste l'outil qui permet à un administrateur de con ?gurer Net ?lter en mode utilisateur Licence d'iptables iptables et le framework NetFilter sont sous licence libre GPL Installation Prérequis iptables est installé en standard sur de nombreuses distributions GNU Linux récentes kernel x ou supérieur iptables a besoin au minimum d'un noyau compilé avec des options spéciales Ceci ne pose pas de problèmes avec les noyaux génériques des principales distributions tout a déjà été fait pour vous Bref sur une distribution récente et standard passez à la partie Options de compilation du kernel Si vous désirez re-compiler votre kernel il faut spéci ?er les options nécessaires au fonctionnement d'iptables Les options suivantes doivent êtres activées en module M ou dans le kernel Y CCONFIGPACKET CONFIGNETFILTER CONFIGIPNFCONNTRACK CONFIGIPNFFTP CONFIGIPNFIRC CONFIGIPNFIPTABLES CONFIGIPNFFILTER CONFIGIPNFNAT CONFIGIPNFMATCHSTATE CONFIGIPNFTARGETLOG CONFIGIPNFMATCHLIMIT CONFIGIPNFTARGETMASQUERADE et éventuellement CONFIGIPNFCOMPATIPCHAINS pour garder la compatibilité avec ipchains CONFIGIPNFCOMPATIPFWADM pour garder la compatibilité avec ipfwadm CONFIGIPNFTARGETREDIRECT indispensable pour les proxies transparents par exemple CONFIGIPNFMATCHMAC permet de matcher avec les adresses MAC Ne pas oublier le support réseau et TCP IP et compiler le kernel comme d'habitude make dep make clean make bzImage make modules make modules install Installation Récupérer le package net ?lter et l'installer comme d'habitude avec apt-get urpmi emerge Notons que sur les versions inférieures a Red Hat il faut compiler un noyau car iptables ne supporte pas les noyaux x La compilation de iptables est complexe Le mieux est de lire le ?chier INSTALL du package des sources Chargement des modules Dans le cas ou les options iptables du noyau ont été compilées en modules il est nécessaire de charger ces modules avant de pouvoir utiliser iptables modprobe ip tables selon les besoins on peut éventuellement charger les modules suivants modprobe ipnatftp modprobe ipnatirc modprobe iptable ?lter modprobe iptablemangle modprobe iptable nat Si on a besoin de pouvoir rediriger forward les paquets IP arrivant sur un interface réseau connectée par exemple à Internet vers une autre interface réseau connectée par exemple au réseau local il sera nécessaire dans