Gestion des règles IPTables

Que sont les iptables?

IPTABLE est un utilitaire de pare-feu basé sur la ligne de commande extrêmement flexible construit spécifiquement pour les distributions Linux.IPTABLE utilise des chaînes de stratégie pour autoriser ou bloquer le trafic.Lorsqu'une connexion est établie sur votre serveur, IPTABLIQUES identifiera une règle de sa liste afin de déterminer l'action à prendre.Si aucune règle n'est présente pour la connexion, elle aura recours à l'action par défaut définie pour votre système.

Comment installer IPTables?

Généralement, IPTables est installé par défaut sur la plupart des systèmes Linux. Pour le mettre à jour ou l'installer, vous pouvez récupérer le package IPTables en exécutant les commandes suivantes:

Remarque: IPTables doit être préinstallé sur CentOS 6.

Ubuntu

apt-get install iptables-persistent

CentOS 7

systemctl stop firewalld
systemctl mask firewalld
yum install iptables-services
systemctl enable iptables
systemctl start iptables

Iptables va maintenant être installés sur votre système.Jetons un coup d'œil à comment utiliser iptables.

Comment utiliser IPTables?

Cette section couvrira certaines commandes et utilisations de base des IPTables spécifiques, telles que la liste de votre carte de règles actuelle et un blocage d'une adresse IP d'établir une connexion.

Liste des règles par spécification

Pour répertorier le jeu de règles actuellement actif par spécification, vous émettez la commande suivante:

iptables -S

Liste des règles par chaîne spécifique

Pour afficher les règles actuellement appliquées à une chaîne spécifique, vous pouvez utiliser la commande suivante. Cet exemple affichera toutes les spécifications de règle de la chaîne UDP:

iptables -S UDP

Liste des règles sous forme de tableaux

Vous pouvez répertorier toutes les règles IPTables actuelles qui sont en place dans une vue de table à l'aide de la commande suivante qui appelle l'option -L. Cela listera tous les jeux de règles actuels triés par type de chaîne.

iptables -L

Supprimer la règle à l'aide de la spécification

Vous pouvez supprimer des règles dans iptables à l'aide de l'option -D.Vous pouvez supprimer des règles de règles de différentes manières différentes.Nous couvrirons la suppression des règles par la spécification.Par exemple, si vous souhaitez supprimer la règle qui permet à tout le trafic entrant sur le port 443, vous utiliseriez la commande suivante:

iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

Règles de vidage

Avec IPTables, vous pouvez vider les règles. Cela peut être fait en rinçant une seule chaîne ou en rinçant toutes les chaînes. Nous couvrirons les deux méthodes ci-dessous.

Pour affleurer une seule chaîne, vous pouvez utiliser l'option -f, ou l'option équivalente -flush, associée au nom de la chaîne que vous souhaitez affleurer.Par exemple, vous pouvez supprimer toutes les règles de la chaîne d'entrée en utilisant la commande suivante:

iptables -F INPUT

Pour affleurer toutes les chaînes, vous utilisez à nouveau l'option -f ou équivalent -flush sans paramètres supplémentaires.Cela supprimera efficacement toutes les règles de pare-feu actuellement actives sur le serveur.La commande est la suivante:

iptables -F

Bloquer une adresse IP

Les IPTABLES permettent de bloquer les connexions réseau à partir d'une adresse IP spécifique.Par exemple, pour bloquer toutes les connexions entrantes du 10.10.10.10.10.10.10, vous exécuteriez la commande suivante:

iptables -A INPUT -s 10.10.10.10 -j DROP

Vous pouvez également rejeter la connexion, qui répondra à une erreur de «connexion refusée».Remplacer tomber avec rejet.

iptables -A INPUT -s 10.10.10.10 -j REJECT

Vous pouvez également bloquer les connexions d'une adresse IP spécifique à un périphérique réseau spécifique, tel que ETH1, à l'aide de l'option -i.

iptables -A INPUT -i eth1 -s 10.10.10.10 -j DROP

Autoriser toutes les connexions SSH entrantes

Pour autoriser TOUTES les connexions SSH entrantes sur le port SSH par défaut (22), utilisez les commandes suivantes:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Autoriser toutes les connexions SSH entrantes à partir d'une adresse IP explicite

Vous pouvez également limiter les connexions SSH à seulement être autorisées à partir d'une adresse IP ou d'un sous-réseau spécifique.Par exemple, si vous ne vouliez que laisser l'adresse IP 10.10.10.10 à vous connecter au serveur via SSH, vous utiliseriez la commande suivante:

iptables -A INPUT -p tcp -s 10.10.10.10 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Cela peut également être fait pour un sous-réseau entier en ajoutant le sous-réseau à la commande, tel que / 27 comme l'illustre la commande suivante:

iptables -A INPUT -p tcp -s 10.10.10.10/27 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Autoriser les connexions SSH sortantes

Votre pare-feu peut ne pas disposer de la politique de sortie pour accepter.Si tel est le cas, vous devrez peut-être autoriser les connexions SSH sortantes si vous souhaitez vous connecter directement à un serveur externe à partir de votre serveur.Vous pouvez exécuter les commandes suivantes pour y parvenir sur le port SSH par défaut (22).Si vous utilisez un autre port SSH, remplacez "22" dans l'exemple suivant avec le numéro de port que vous utilisez:

iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Autoriser toutes les connexions HTTP et HTTPS entrantes

Par défaut, le trafic HTTP est généralement servi sur le port 80 et le trafic HTTPS est généralement servi sur le port 443. Vous pouvez autoriser les deux types de connexions à votre serveur Web à l'aide des commandes suivantes.

Remarque: Si vous voulez seulement laisser un et non l'autre, supprimez le numéro de port de la commande qui correspond au protocole que vous souhaitez autoriser.

iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

Bloquer le SMTP sortant

IPTABLES vous permet de bloquer des ports spécifiques, tels que le port SMTP par défaut (25). Par exemple, vous ne voudrez peut-être pas autoriser le courrier sortant sur votre serveur. Pour arrêter cela en utilisant iptables, vous pouvez émettre la commande suivante:

iptables -A OUTPUT -p tcp --dport 25 -j REJECT

Cela configurez Iptables de rejeter tout le trafic sortant du port 25. Si vous souhaitez rejeter le trafic sur un autre port, vous pouvez remplacer «25» avec le numéro de port en question.

Autoriser les connexions SMTP entrantes

Vous pouvez autoriser votre serveur à répondre à toutes les connexions SMTP sur le port 25 en exécutant les commandes suivantes:

iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT