English Web Page

Sujet Firewall Date 20-01-2009 Titre Webmin - Configuration Firewall IPTables - Fedora FC9 - FC10 Section BSD Linux Article Avec une distribution Linux Fedora 9 ou FC9 et Fedora 10 ou FC10. Pour configurer le Firewall de Linux pour héberger un site Web, l'utilisation de Webmin facilite grandement la vie. Mais on peut toujours refaire les règles du Firewall avec l'outil "Pare-Feu" qui se trouve dans le menu "Système" puis dans le sous-menu "Administration". Pour les périphériques et les services suivants : DNS pour le serveur de Noms de Domaine Bind, port 53. HTTP pour le serveur Web Apache, port 80 et 443 pour servir en SSL. FTP pour le Serveur ProFTPd, port 21. SSH pour OpenSSH, port 22. SMTP pour Postfix ou Sendmail, port 25. eth0, eth1, eth2... etc, qui sont les interfaces réseaux, très important si le poste ou le serveur est derrière un routeur ou utilise un réseau SMB. Avec Webmin à section Réseau puis Linux Firewall, le chargement des règles prennent quelques secondes et on obtient un tableau suivant : Filtrage de paquets (filter) Altération de paquets (mangle) Translation d'adresses réseau (nat) Paquets Entrants (INPUT) Selectionner tout. | Inverser la sélection. Action Condition Déplacer Ajouter Accepter Si le status de la connexion est ESTABLISHED,RELATED Accepter Si le protocole est ICMP Accepter Si l'interface d'entrée est lo Accepter Si l'interface d'entrée est eth1 Accepter Si l'interface d'entrée est eth2 Accepter Si le protocole est TCP et le port destination est 21 et le status de la connexion est NEW Accepter Si le protocole est TCP et le port destination est 22 et le status de la connexion est NEW Accepter Si le protocole est TCP et le port destination est 25 et le status de la connexion est NEW Accepter Si le protocole est TCP et le port destination est 53 et le status de la connexion est NEW Accepter Si le protocole est UDP et le port destination est 53 et le status de la connexion est NEW Accepter Si le protocole est TCP et le port destination est 80 et le status de la connexion est NEW Accepter Si le protocole est TCP et le port destination est 443 et le status de la connexion est NEW Refuser Toujours Selectionner tout. | Inverser la sélection. Accepter Jeter Espace utilisateur Sortir de la chaîne Paquets Transmis (FORWARD) Selectionner tout. | Inverser la sélection. Action Condition Déplacer Ajouter Accepter Si le status de la connexion est ESTABLISHED,RELATED Accepter Si le protocole est ICMP Accepter Si l'interface d'entrée est lo Accepter Si l'interface d'entrée est eth1 Accepter Si l'interface d'entrée est eth2 Refuser Toujours Selectionner tout. | Inverser la sélection. Accepter Jeter Espace utilisateur Sortir de la chaîne Paquets Sortants (OUTPUT) Il n'y a pas de règle définie pour cette chaîne Accepter Jeter Espace utilisateur Sortir de la chaîne Cliquer sur ce bouton pour activer la configuration du firewall ci-dessus. Toutes les règles du firewall actuellement actives vont être purgées et remplacées. Cliquer sur ce bouton pour rétablir la configuration listée ci-dessus en fonction de celle actuellement active. oui Non Sélectionner l'option voulue pour activer ou ne pas activer IPTables au démarrage de l'ordinateur. Cliquer ce bouton pour effacer toutes les règles existantes du Firewall et réinitialiser IPTables avec de nouvelles règles. Le respect se l'ordre des règles est primordiale, ce n'est pas pour rien, que l'on peut les monter ou les descendre ! Pour ajouter une nouvelle règle, le plus simple est cliquer sur Accepter de la ligne concernée, par exemple celle de l'interface d'entrée est lo, puis d'éditer une règle identique avec le bouton "Cloner la règle" qui se trouve en bas du formulaire, changer l'interface d'entrée lo par exemple eth1, sauvegarder cette nouvelle règle et la monter dans la liste. Règles de Firewall du Fichier /etc/sysconfig/iptables # Firewall configuration written by system-config-firewall # Manual customization of this file is not recommended. *filter :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -i eth2 -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT -A INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT -A INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -i eth2 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT # Generated by webmin *mangle :FORWARD ACCEPT [0:0] :INPUT ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed # Generated by webmin *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] COMMIT # Completed Attention à la syntaxe du Fichier /etc/sysconfig/iptables Auteur Eric Douzet

C-extra.com v. 1.2.2 © 2003-2010, tous droits réservés  -  Mise à jour le 02 Septembre 2010 Infologisme.com