wikinotes

Outils pour utilisateurs

Outils du site

Piste : make erreur_too_many_authentication_failure tp1.2_introduction_modbus cloner_une_vm_avec_virt-clone conversion-udf-en-iso utiliser_convertisseur_analogique_numerique 320_tuples collectd templates 110_paquets_python
netadmin:iptables:creer_une_regle

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
netadmin:iptables:creer_une_regle [2020/11/08 18:21] yoannnetadmin:iptables:creer_une_regle [2021/06/25 12:56] (Version actuelle) 92.154.112.189
Ligne 59: Ligne 59:
 Fonctionne comme la cible DROP mais renvoie un message d'erreur à l' hôte à l'origine du paquet. Fonctionne comme la cible DROP mais renvoie un message d'erreur à l' hôte à l'origine du paquet.
  
 +===== Afficher les règles =====
 +
 +L'argument -S utilisé sans la chaîne en option permet de lister les règles existantes sur l'ensemble des chaines associées à la table:
 +<code bash>
 +# liste toutes les règles de toutes les chaines de la table filter
 +iptables -t filter -S
 +
 +# la table utilisée par défaut est filter, commande équivalente:
 +iptables -S
 +
 +# lister seulement les règles de la chaine INPUT dans la table filter
 +iptables -S INPUT
 +
 +# equivalent
 +iptables -t filter -S INPUT
 +</code>
 +
 +===== Sauvegarder les règles =====
 +
 +Les règles saisies à l'aide du CLI iptables sont actives mais ne seront pas conservées après redémarrage. Pour sauvegarder les règles actives dans un fichier texte afin de pouvoir les recharger, on peut utiliser **iptables-save**
 +
 +<code bash>
 +iptables-save > firewall.rules
 +</code>
 +
 +===== Restauration d'un jeu de règles =====
 +
 +iptables-restore écrase les règles préexistantes et les remplaces par celles passées en entrée:
 +<code bash>
 +iptables-restore < firewall.rules
 +</code>
 +
 +===== Exemples =====
 +
 +==== Autoriser/interdire une application ====
 +
 +On ne peut pas directement écrire de règle qui autorise ou refuse les paquets liés à une application (un binaire) en le désignant par son nom de fichier. En revanche grâce au module **owner** on peut écrire des règles pouvant s'appliquer à des utilisateurs ou des groupes.
 +
 +L'astuce consiste à créer un groupe système, à affecter ce groupe au binaire puis à créer une règle pouvant s'appliquer.
 +
 +Dans l'exemple proposé la politique par défaut rejette tous les paquets en sortie. On souhaite autoriser une application particulière (discord) à utiliser une plage de ports UDP en sortie (50000 à 50100)
 +
 +
 +<code bash>
 +# creation du groupe système
 +sudo addgroup --system discordnetpol
 +
 +# affecter le groupe 
 +# lancer le programme
 +sg discordnetpol /usr/share/discord/Discord
 +</code>
 +
 +===== Références =====
 +  * https://wiki.visionduweb.fr/index.php/Configurer_le_pare-feu_Iptables
 +  * https://stackoverflow.com/questions/4314163/create-iptables-rule-per-process-service
netadmin/iptables/creer_une_regle.1604859678.txt.gz · Dernière modification : 2021/02/01 21:51 (modification externe)

Outils de la page

Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
GNU Free Documentation License 1.3 Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki