Mon pc personnel est connecté (presque) en permanence sur Internet, merci l'ADSL illimité... Il est malheureusement soumis à des attaques régulières qu'il faut parer. En effet, les failles de sécurité exploitées par certains sont souvent liées à des services qu'il est inutile de rendre accessibles sur Internet.
Avant de continuer, vous devez connaître un peu les principes de TCP/IP, connaître les services que vous souhaitez rendre visible sur le NET, et être root de votre machine.
Afin de réaliser un filtrage efficace sous Linux, il vaut mieux être au niveau du noyau, je préfère donc Netfilter à toutes autres solutions. Rendez-vous sur le site pour comprendre les principes de ce formidable outil.
Pas d'interface graphique pour ce produit, utilisation de la ligne de commande en mode shell... Une seule commande sera utilisée : iptables.
Perso je laisse l'accès a HTTP (80/tcp) et SMTP (25/udp et 25/tcp). L'interface eth0 de mon pc est sur le NET via ADSL dégroupé partiel chez Free (DHCP).
1- STRATEGIE : On nettoie tout, par defaut on rejette tout
# iptables -F
# iptables -X
# iptables -P INPUT DROP
# iptables -P OUPUT DROP
# iptables -P FORWARD DROP
2- NE PAS METTRE NE PERIL LE SYSTEME : On accepte tout de lo
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT
3- LES SERVICES ENTRANT : HTTP et SMTP
# iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT
# iptables -A INPUT -i eth0 -p tcp --dport 25 -m state --state NEW -j ACCEPT
# iptables -A INPUT -i eth0 -p udp --dport 25 -m state --state NEW -j ACCEPT
4- Pour l'outil de gestion du modem : multicast pas de routage
# iptables -A INPUT -i eth0 -p udp --dport 3456 -j ACCEPT
# iptables -A OUTPUT -o eth0 -p udp --dport 3456 -j ACCEPT
4- On accepte ce qui est ETABLI en ENTREE, ETABLI et nouveau en SORTIE
# iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
5- On rejete le reste
# iptables -A INPUT -j DROP
# iptables -A OUTPUT -j DROP
# iptables -A FORWARD -j DROP
L'intéressant est d'avoir cette protection dès le démarrage de Linux, comment faire?
Créer un script shell dans les zones de script de démarrage de votre système, /etc/rc.d pour Slackware Linux.
Utiliser une variable pour le nom de l'interface, et utilisez là dans les commandes iptables. Si vous changer la configuration de votre PC, il suffira de changer la valeur de cette variable.
Configurer votre système pour que ce script soit lancé après l'init de l'interface réseau
Renseignez-vous sur les brevets logiciels en Europe :
NoSoftWarePatents.com (en français)
Les images représentant des sociétes, des associations ou des marques restent associées, par un lien, à ces sociétés, associations ou marques. Elles ne signifie en rien que ces sociétés, associations ou marques soutiennent ce site.
Sauf précisions contraire, le contenu de ce site est mis à disposition sous un contrat Creative Commons.
Les informations fournies le sont sans aucune garantie. L'auteur ne pourra être tenu responsable de leurs utilisations.
De par l'utilisation du HTML 4.01 Strict et des CSS 2.1, le monde de crabs sera correctement vu avec les navigateurs respectant ces normes, Mozilla ou FireFox par exemple.
| Site : | Le Monde de Crabs |
| Titre : | Un firewall pour une machine locale |
| Date du document : | 09/04/2005 |
| Auteur : | Christophe Cazajus |
| Mail : | crabs(mettre le @)crabs-world.com ou utiliser ce formulaire de contact |
| Mots-clé : | crabs, monde, francais, francophone, français, linux, système et réseau, iptables, netfilter |
| Description : | Comment configurer un firewall avec netfilter / iptables pour un pc sous Linux |
| Validation : | html, csshtml, ccs |
Le calendrier et les scores du Stade Toulousain sont accessibles sur cette page : Le monde de crabs et le Stade Toulousain.