{"id":1948,"date":"2022-12-13T19:21:31","date_gmt":"2022-12-13T18:21:31","guid":{"rendered":"https:\/\/www.webodesign.net\/?page_id=1948"},"modified":"2023-01-06T15:37:19","modified_gmt":"2023-01-06T14:37:19","slug":"firewall-definition-des-regles-iptables","status":"publish","type":"page","link":"https:\/\/www.webodesign.net\/?page_id=1948","title":{"rendered":"Firewall – D\u00e9finition des r\u00e8gles IPtables"},"content":{"rendered":"\n
\n
\n

Firewall – D\u00e9finition des r\u00e8gles IPtables<\/h3><\/div>\n<\/div>\n\n\n\n
\n
\n
\n
\n

Proc\u00e9dure d’installation de NetFilter<\/h3>\n\n\n\n
\n
Proc\u00e9dure d’installation de NetFilter<\/span><\/span><\/span><\/div>
\n
sudo apt-get remove --auto-remove nftables\n\nsudo apt-get purge nftables\n\nsudo apt-get update\n\nsudo apt-get install iptables\n\niptables --list\n\niptables -L -v\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (liste des r\u00e8gles d\u00e9taill\u00e9)\n\niptables -S\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 (liste des commandes ajout\u00e9es)\n\niptables -L --line-numbers\n\n# Bloquer le ping entrant\n\n# iptables -A(ou -I ou -D)\u00a0 -i <interface> -p <protocol (tcp\/udp\/icmp)> -s <source> --dport <port no.>\u00a0 -j <target>\n\niptables -A INPUT -s 127.0.0.1 -p icmp -j DROP\n\niptables -F\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 --> vider toutes les r\u00e8gles\n\niptables -A INPUT -s 127.0.0.1 -p icmp -j DROP\n\niptables -D INPUT -s 127.0.0.1 -p icmp -j DROP\u00a0\u00a0\u00a0\u00a0\u00a0 --> supprimer la r\u00e8gle exit iptables -D INPUT<\/pre><\/div>\n<\/div><\/div><\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n
\n
R\u00e8gles iptables<\/h3>\n\n\n\n
\n
R\u00e8gles iptables<\/span><\/span><\/span><\/div>
\n
 nano regles-iptables.sh\nchmod +x regles-iptables.sh\n\n#!\/bin\/sh\n\n# On vide les r\u00e8gles d\u00e9j\u00e0 existantes\nsudo iptables -t filter -F\nsudo iptables -t filter -X\n\n# Interdire toutes connexions entrantes et sortantes\nsudo iptables -P INPUT DROP\nsudo iptables -P FORWARD DROP\nsudo iptables -P OUTPUT DROP\n\n# Ne pas casser les connexions etablies\nsudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\nsudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\n\n# Autoriser loopback\nsudo iptables -A INPUT -i lo -j ACCEPT\nsudo iptables -A OUTPUT -o lo -j ACCEPT\n\n# Autoriser le ping\nsudo iptables -A INPUT -p icmp -j ACCEPT\nsudo iptables -A OUTPUT -p icmp -j ACCEPT\n\n# Autoriser SSH\nsudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT\n\n# Autoriser DNS\nsudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT\nsudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT\nsudo iptables -A INPUT -p udp --dport 53 -j ACCEPT\n\n# Autoriser NTP\nsudo iptables -A OUTPUT -p udp --dport 123 -j ACCEPT\n\n# Autoriser FTP\nmodprobe ip_conntrack_ftp\nsudo iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT\nsudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n\n# Autoriser HTTP et HTTPS\nsudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT\n\n# Mails\n# Autoriser POP3\nsudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT\n\n# Autoriser SMTP\nsudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT\n\n# Autoriser IMAP\nsudo iptables -A INPUT -p tcp --dport 143 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT\n\n# Autoriser POP3S\nsudo iptables -A INPUT -p tcp --dport 995 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT\n\n# Autoriser Webadmin sur vmi820488.contaboserver.net\nsudo iptables -A INPUT -p tcp --dport 10000 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 10000 -j ACCEPT<\/pre><\/div>\n\n\n\n
Informations :<\/h3><\/div>\n\n\n\n
apt-get install iptables-persistent (r\u00e9pondre oui pour enregistrer les r\u00e8gles IPV4 et IPV6)<\/p>\n\n\n\n
Les fichiers de configaration sont sauvegard\u00e9s dans le dossier \/etc\/iptables : rules.v4 et rules.v6<\/p>\n\n\n\n
service iptables-persisitent save (sauvegarde les r\u00e8gle en m\u00e9moire dans le fichier rules.v4)<\/p>\n\n\n\n
service iptables-persisitent flush (vide les r\u00e8gles sauvegard\u00e9es en m\u00e9moire) <\/p>\n\n\n\n
service iptables-persisitent reload (charge les r\u00e8gles pr\u00e9sentent dans le fichier rules.v4 en m\u00e9moire)<\/p>\n<\/div><\/div><\/div><\/div>\n<\/div>\n<\/div>\n\n\n\n
\n
\n
\n
nano regles-iptables.sh\nchmod +x regles-iptables.sh\n\n#!\/bin\/sh\n\n# On vide les r\u00e8gles d\u00e9j\u00e0 existantes\nsudo iptables -t filter -F\nsudo iptables -t filter -X\n\n# Interdire toutes connexions entrantes et sortantes\nsudo iptables -P INPUT DROP\nsudo iptables -P FORWARD DROP\nsudo iptables -P OUTPUT DROP\n\n# Ne pas casser les connexions etablies\nsudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\nsudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT\n\n# Autoriser loopback\nsudo iptables -A INPUT -i lo -j ACCEPT\nsudo iptables -A OUTPUT -o lo -j ACCEPT\n\n# Autoriser le ping\nsudo iptables -A INPUT -p icmp -j ACCEPT\nsudo iptables -A OUTPUT -p icmp -j ACCEPT\n\n# Autoriser SSH\nsudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT\n\n# Autoriser DNS\nsudo iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT\nsudo iptables -A OUTPUT -p udp --dport 53 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 53 -j ACCEPT\nsudo iptables -A INPUT -p udp --dport 53 -j ACCEPT\n<\/code><\/pre>\n<\/div>\n\n\n\n
\n
# Autoriser NTP\nsudo iptables -A OUTPUT -p udp --dport 123 -j ACCEPT\n\n# Autoriser FTP\nmodprobe ip_conntrack_ftp\nsudo iptables -A OUTPUT -p tcp --dport 20:21 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 20:21 -j ACCEPT\nsudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT\n\n# Autoriser HTTP et HTTPS\nsudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 8443 -j ACCEPT\n\n# Mails\n# Autoriser POP3\nsudo iptables -A INPUT -p tcp --dport 110 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT\n\n# Autoriser SMTP\nsudo iptables -A INPUT -p tcp --dport 25 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT\nsudo iptables -A INPUT -p tcp --dport 587 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT\n\n# Autoriser IMAP\nsudo iptables -A INPUT -p tcp --dport 143 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT\n\n# Autoriser POP3S\nsudo iptables -A INPUT -p tcp --dport 995 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT\n\n# Autoriser Webadmin sur vmi820488.contaboserver.net\nsudo iptables -A INPUT -p tcp --dport 10000 -j ACCEPT\nsudo iptables -A OUTPUT -p tcp --dport 10000 -j ACCEPT\n<\/code><\/pre>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n\n\n\n
\n\n
\t\t\n\n\t
\n\t\t\t\n\t\t
\n\n\t\t\t\t\t\t
\n