7.2. Utilisation d'iptables

La première étape lors de l'utilisation de iptables est de démarrer le service iptables. Pour ce faire, utilisez la commande suivante :

service iptables start

AvertissementAvertissement
 

Les services ip6tables devraient être désactivés afin d'utiliser le service iptables à l'aide des commandes suivantes :

service ip6tables stop
chkconfig ip6tables off

Pour que iptables soit lancé par défaut dès que le système est démarré, vous devez changer le statut du niveau d'exécution sur le service à l'aide de chkconfig.

chkconfig --level 345 iptables on

La syntaxe de iptables est séparée en tiers. Le tiers principal est la chaîne. Une chaîne spécifie l'état auquel un paquet sera manipulé. Son utilisation est la suivante :

iptables -A chain -j target

L'option -A ajoute une règle à la fin d'un ensemble de règles existant. chain représente le nom de la chaîne pour une règle. Les trois chaînes intégrées de iptables (c'est-à-dire, les chaînes qui affectent tous les paquets qui traversent un réseau) sont INPUT, OUTPUT et FORWARD. Elles sont permanentes et ne peuvent pas être supprimées. L'option -j target spécifie l'emplacement dans l'ensemble de règles iptables où cette règle particulière devrait directement passer (jump). Certaines cibles intégrées sont ACCEPT, DROP et REJECT.

De nouvelles chaînes (également appelées chaînes définies par l'utilisateur) peuvent être créées à l'aide de l'option -N. Il est utile de créer une nouvelle chaîne pour personnaliser des règles granulaires ou élaborées.

7.2.1. Politiques élémentaires de pare-feu

Certaines politiques élémentaires de pare-feu établies depuis le début peuvent servir de base pour construire des règles définies par l'utilisateur plus détaillées. iptables utilise des politiques (-P) afin de créer des règles par défaut. Les administrateurs qui font toujours attention à la sécurité, choisissent normalement la politique de ne prendre en compte aucun paquet et de n'autoriser que des paquets spécifiques selon leur cas. Les règles suivantes bloquent tous les paquets entrants et sortants sur une passerelle réseau :

iptables -P INPUT DROP
iptables -P OUTPUT DROP

En outre, il est recommandé que tout paquet retransmis — le trafic réseau qui doit être routé à partir du pare-feu jusqu'à son noeud de destination — soit également refusé, afin de restreindre les clients internes à toute exposition involontaire à l'internet. Pour ce faire, utilisez la règle suivante :

iptables -P FORWARD DROP 

Après avoir configuré les chaînes de politique, vous pouvez créer de nouvelles règles pour votre réseau et vos besoins de sécurité particuliers. Les sections suivantes examinent certaines règles que vous pouvez implémenter lors de la construction de votre pare-feu iptables.

7.2.2. Sauvegarde et restauration de règles iptables

Les règles de pare-feu sont uniquement valides lorsque l'ordinateur est allumé. Si le système est redémarré, les règles sont automatiquement supprimées et réinitialisées. Pour sauvegarder les règles afin qu'elles soient chargées à une date ultérieure, utilisez la commande suivante :

/sbin/service iptables save

Les règles sont stockées dans le fichier /etc/sysconfig/iptables et sont appliquées dès que le service est lancé ou redémarré, y compris lorsque l'ordinateur est redémarré.