Apprenez utiliser IpTable, le meilleur firewall sous linux | ZeM, geeke...

http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/

Accueil (http://www.zem.fr/) NetSysInfo (http://www.zem.fr/netsysinfo/) WordPress Brute Force (http://www.zem.fr/wordpress-brute-force/) RSS Feed (http://www.zem.fr/feed/) Twitter (http://twitter.com/jhdscript)
(http://www.zem.fr)

Accueil (http://www.zem.fr) Bidouilles (http://www.zem.fr/category/bidouilles/) CryptoCurrencies (http://www.zem.fr/category/cryptocurrencies-2/) Geekeries (http://www.zem.fr/category/geekeries/) Linux (http://www.zem.fr/category/linux-2/) Programmation (http://www.zem.fr/category/programmation/) ZeM (http://www.zem.fr/category/zem/)

Apprenez utiliser IpTable, le firewall Linux

April 6th, 2012 jhd Un firewall est un logiciel indispensable sur un serveur car il permet de grer et limiter les connexions entrantes et sortantes. Comme pour Windows, il existe de nombreux parefeux (firewall) sous Linux mais le plus communment utilis est IpTables. En effet, IpTables est disponible nativement sur les distributions Linux et il est relativement complet. Nous allons donc voir les fonctions principales que l'on peut utiliser.

IANA nous explique les ports

IANA (Internet Assigned Numbers Authority) est l'autorit qui dfinit les ports des applications communes. Sous Linux, vous pouvez ainsi voir l'ensemble de l'assignation des ports via la commande: nano /etc/services Vous verrez alors une liste de ports, leur protocol et le nom de l'application qui les utilisent: ftp-data ftp fsp ssh ssh telnet smtp time time rlp nameserver 20/tcp 21/tcp 21/udp 22/tcp 22/udp 23/tcp 25/tcp 37/tcp 37/udp 39/udp 42/tcp mail timserver timserver resource name # resource location # IEN 116

fspd # SSH Remote Login Protocol

Maintenant que vous connaissez les principaux ports, vous pouvez utiliser IpTables pour en bloquer ou en autoriser certains.

Bloquer un port entrant avec IpTables

La syntaxe pour bloquer un port entrant est la suivante: # bloquer un port entrant /sbin/iptables -A INPUT -p tcp --destination-port {NUMERO_DE_PORT} -j DROP # bloquer un port entrant sur l'interface eth0

1 sur 5

13/05/2013 12:23

Apprenez utiliser IpTable, le meilleur firewall sous linux | ZeM, geeke...

http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/

/sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {NUMERO_DE_PORT} -j DROP # bloquer un port entrant sur l'interface eth0 pour une adresse ip ou un rseau /sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {NUMERO_DE_PORT} -s {ADRESSE_IP} -j DROP /sbin/iptables -A INPUT -i eth0 -p tcp --destination-port {NUMERO_DE_PORT} -s {IP_OU_RESEAU} -j DROP Ainsi pour bloquer le port 80 qui correspond au serveur HTTP, il faut utiliser la commande suivante: /sbin/iptables -A INPUT -p tcp --destination-port 80 -j DROP Puis il faut sauver les modifications: /sbin/service iptables save Petite astuce: pour bloquer le port 80 sauf pour l'ip 10.1.1.1, il faudra utiliser la commande suivante: /sbin/iptables -A INPUT -p tcp -i eth1 -s ! 10.1.1.1 --dport 80 -j DROP

Bloquer un port sortant

De la mme manire, pour bloquer un port sortant on utilisera la synxtaxe: # bloquer un port sortant /sbin/iptables -A OUTPUT -p tcp --dport {NUMERO_DE_PORT} -j DROP # bloquer un port sortant sur l'interface eth0 /sbin/iptables -A OUTPUT -i eth0 -p tcp --dport {NUMERO_DE_PORT} -j DROP # bloquer un port sortant sur l'interface eth0 pour une adresse ip ou un rseau /sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {NUMERO_DE_PORT} -s {ADRESSE_IP} -j DROP /sbin/iptables -A OUTPUT -i eth0 -p tcp --destination-port {NUMERO_DE_PORT} -s {IP_OU_RESEAU} -j DROP Par exemple, pour bloquer le port sortant 25 qui correspond au port smtp, on fera: /sbin/iptables -A OUTPUT -p tcp --dport 25 -j DROP /sbin/service iptables save Pour bloquer le port 25 pour l'ip 10.1.1.1 uniquement on utilisera: /sbin/iptables -A OUTPUT -p tcp -d 10.1.1.1 --dport 25 -j DROP /sbin/service iptables save

Logguer les ports bloqus

Il peut tre intressant de savoir quels ports ont t bloqus et pour quelles adresses ip afin de superviser correctement son rseau: # Logging # /sbin/iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "PORT 80 DROP: " --log-level 7 /sbin/iptables -A INPUT -p tcp --destination-port 80 -j DROP

Un exemple concret: bloquer un cracker

Pour terminer, voil un exemple pratique qui vous servira probablement. Il vous permet de bloquer un hacker qui lance de multiple requtes UDP sur le port 161 (snmp) de votre serveur. Dans cet exemple, le cracker a l'ip 192.168.1.5 /sbin/iptables -A INPUT -s 192.168.1.5 -i eth1 -p udp -m state --state NEW -m udp --dport 161 -j DROP Cette initiation IpTables n'est qu'une entre en la matire concernant les fonctionnalits offertes par ce firewall. Vous apprendez rapidement configurer votre parefeu afin de scuriser au maximum votre rseau. Posted in Linux (http://www.zem.fr/category/linux-2/) Tags: bloquer port (http://www.zem.fr/tag/bloquer-port/), drop port
(http://www.zem.fr/tag/drop-port/), firewall (http://www.zem.fr/tag/firewall/), iptables (http://www.zem.fr/tag/iptables/), linux (http://www.zem.fr/tag/linux/), parefeu (http://www.zem.fr/tag/parefeu/), port entrant (http://www.zem.fr/tag/port-entrant/), port sortant (http://www.zem.fr/tag/port-sortant/)

2 sur 5

13/05/2013 12:23

Apprenez utiliser IpTable, le meilleur firewall sous linux | ZeM, geeke...

http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/

Installer une carte SAS RocketRaid 2680 sur Ubuntu Oneiric (http://www.zem.fr/installer-une-carte-sas-rocketraid-2680-sur-ubuntuoneiric/)

Convertir des fichiers entre Linux et Windows (http://www.zem.fr/convertir-des-fichiers-entre-linux-et-windows/) You can leave a response (#respond), or trackback (http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/trackback/) from your own site.

One Response to Apprenez utiliser IpTable, le firewall Linux

1. Sky-Future.net [Tuto] Comment installer un serveur Minecraft sous Debian (http://www.sky-future.net/2013/02/tutocomment-installer-un-serveur-minecraft-sous-debian/) says:

February 15, 2013 at 8:29 am (http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/#comment-671) [...] Vous devrez ouvrir le port 25565 et le rediriger vers ladresse ip de votre serveur (Pour connatre lip de celle-ci taper ifconfig et vous aurez lip de votre serveur) Pour pouvoir permettre au personnes extrieur votre rseau local de ce connecter votre serveur. (en gnral tous les port sont ouvert sur debian pour scuriser cela je vous conseille dutiliser les rgles iptable voir larticle ici) [...] Reply (/apprenez-a-utiliser-iptable-le-firewall-linux/?replytocom=671#respond)

Leave a Reply
Name (required) Mail (will not be published) (required) Website

Video Favorite

Recent Comments
jhd on RainTPL: moteur de template PHP (http://www.zem.fr/raintpl-moteur-de-template-php/#comment-854) jhd on Choisir son serveur DLNA (http://www.zem.fr/choisir-son-serveur-dlna/#comment-853) foxmask on RainTPL: moteur de template PHP (http://www.zem.fr/raintpl-moteur-de-template-php/#comment-847) ranita on Choisir son serveur DLNA (http://www.zem.fr/choisir-son-serveur-dlna/#comment-826) max on Installer un serveur VPN sur Ubuntu (Serveur Kimsufi) (http://www.zem.fr/installer-un-serveur-vpn-sur-ubuntuserveur-kimsufi/#comment-820)

3 sur 5

13/05/2013 12:23

Apprenez utiliser IpTable, le meilleur firewall sous linux | ZeM, geeke...

http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/

Categories
Bidouilles (http://www.zem.fr/category/bidouilles/) CryptoCurrencies (http://www.zem.fr/category/cryptocurrencies-2/) Geekeries (http://www.zem.fr/category/geekeries/) Linux (http://www.zem.fr/category/linux-2/) Programmation (http://www.zem.fr/category/programmation/) ZeM (http://www.zem.fr/category/zem/)

Nuage de Mots
zraid (http://www.zem.fr/tag/zraid/) optimize raspberry (http://www.zem.fr/tag/optimize-raspberry/) RAID (http://www.zem.fr/tag/raid/) ligne de commande (http://www.zem.fr/tag/ligne-de-commande/) SSH (http://www.zem.fr/tag/ssh/) find (http://www.zem.fr/tag/find/) wordpress

(http://www.zem.fr/tag/wordpress/) raspberry server (http://www.zem.fr/tag/raspberry-server/)

bitcoin (http://www.zem.fr

/tag/bitcoin/) script (http://www.zem.fr/tag/script/) NetSysInfo (http://www.zem.fr/tag/netsysinfo/) Mediatomb

(http://www.zem.fr/tag/mediatomb/) ZFS (http://www.zem.fr/tag/zfs/)

dotnet (http://www.zem.fr

/tag/dotnet/) monitoring (http://www.zem.fr/tag/monitoring/) shell (http://www.zem.fr/tag/shell/) human readable (http://www.zem.fr

/tag/human-readable/)

raspberry (http://www.zem.fr/tag/raspberry/) Raid logiciel (http://www.zem.fr/tag/raid-logiciel/) json (http://www.zem.fr

/tag/json/)

zpool (http://www.zem.fr/tag/zpool/)

raspberrypi (http://www.zem.fr/tag/raspberrypi/)
easylight (http://www.zem.fr/tag/easylight/) MySQL (http://www.zem.fr

/tag/mysql/) apt-get install (http://www.zem.fr/tag/apt-get-install/) /tag/rsync/) rpi (http://www.zem.fr/tag/rpi/)

litecoin (http://www.zem.fr/tag/litecoin/) rsync (http://www.zem.fr

(http://www.zem.fr/tag/bash/)

arduino (http://www.zem.fr/tag/arduino/) bash

shutdown (http://www.zem.fr/tag/shutdown/) generate MD5 (http://www.zem.fr/tag/generate-md5/) trafic (http://www.zem.fr/tag/trafic/) hostname

(http://www.zem.fr/tag/hostname/) sauvegarde (http://www.zem.fr/tag/sauvegarde/)

supervision (http://www.zem.fr/tag/supervision/) 3WARE

(http://www.zem.fr/tag/3ware/) backup (http://www.zem.fr/tag/backup/) ksh (http://www.zem.fr/tag/ksh/)

raspberry pi (http://www.zem.fr

/tag/raspberry-pi/) mdadm (http://www.zem.fr/tag/mdadm/) DLNA (http://www.zem.fr/tag/dlna/) administrer (http://www.zem.fr/tag/administrer/)

Ubuntu (http://www.zem.fr/tag/ubuntu/)
Archives
April 2013 (http://www.zem.fr/2013/04/) March 2013 (http://www.zem.fr/2013/03/) January 2013 (http://www.zem.fr/2013/01/) December 2012 (http://www.zem.fr/2012/12/) October 2012 (http://www.zem.fr/2012/10/) September 2012 (http://www.zem.fr/2012/09/) August 2012 (http://www.zem.fr/2012/08/) July 2012 (http://www.zem.fr/2012/07/) June 2012 (http://www.zem.fr/2012/06/) May 2012 (http://www.zem.fr/2012/05/) April 2012 (http://www.zem.fr/2012/04/) March 2012 (http://www.zem.fr/2012/03/)

Blogroll
Bitcoin Litecoin Casino (http://www.coinpixel.com) Jeux Flash Gratuits (http://www.sexyflash.org) Tlchargement d'OST (http://www.downloadost.com)

Meta
Log in (http://www.zem.fr/wp-login.php)

4 sur 5

13/05/2013 12:23

Apprenez utiliser IpTable, le meilleur firewall sous linux | ZeM, geeke...

http://www.zem.fr/apprenez-a-utiliser-iptable-le-firewall-linux/

Entries RSS (http://www.zem.fr/feed/) Comments RSS (http://www.zem.fr/comments/feed/) WordPress.org (http://wordpress.org/)

Votre VPN - 2.99 / mois

votrevpn.fr Fournisseur de VPN franais de qualit et petit prix !

Des hommes en ligne

www.AfroIntroductions.com Site pour rencontre, amour, amiti Inscription 100% Gratuite. Essayez!

Copyright ZeM, geekeries en tout genre (http://www.zem.fr) - Comment vivre dans ce monde de GeeK

5 sur 5

13/05/2013 12:23