Logo English Web Page
Accueil Association BSD Linux Dev Reseau Infologisme Mac OSX
tl tr
Sujet Firewall Date 20-02-2012
Titre Webmin - Configuration du Firewall Linux IPTables Section BSD Linux
Article

Prérequis

Version de logiciel et serveur requis :

Système d‘exploitation : Arch Linux, Fedora ou autre Linux
Firewall : IPTables
Administration Serveur : Webmin


Composants ou Packages nécessaires
Arch Linux
iptables 1.4.12.2-1 A Linux kernel packet control tool
Fedora
iptables-1.4.12-2.fc16.i686.rpm
iptables-1.4.12-2.fc16.x86_64.rpm

IPTables

Distribution Linux Fedora 16 ou FC16.

Configurer le Firewall de Linux IPTables pour héberger un Site Web, l‘utilisation de Webmin facilite grandement la vie pour les protocoles et les services suivants :
Service Port Serveur
FTP 21 ProFTPd
SSH 22 OpenSSH
SMTP 25 Postfix ou Sendmail *
DNS 53 Bind
HTTP 80 Apache
HTTPS 443 Apache
* Autoriser le port 25 que si un Serveur SMTP est effectif et sortant.

Interfaces réseaux : eth0, eth1, eth2, etc.

Remarque : Le respect de l‘ordre des règles est primordiale.

Avec Webmin à la section Réseau puis Linux Firewall, le chargement des règles prennent quelques secondes et on obtient un tableau suivant :
Paquets Entrants (INPUT)
Selectionner tout. | Inverser la sélection.
Action Condition Déplacer Ajouter
Accepter Si le status de la connexion est ESTABLISHED, RELATED
Accepter Si le protocole est ICMP
Accepter Si l‘interface d‘entrée est lo
Accepter Si l‘interface d‘entrée est eth1
Accepter Si l‘interface d‘entrée est eth2
Accepter Si le protocole est TCP et le port destination est 21 et le status de la connexion est NEW
Accepter Si le protocole est TCP et le port destination est 22 et le status de la connexion est NEW
Accepter Si le protocole est TCP et le port destination est 25 et le status de la connexion est NEW
Accepter Si le protocole est TCP et le port destination est 53 et le status de la connexion est NEW
Accepter Si le protocole est UDP et le port destination est 53 et le status de la connexion est NEW
Accepter Si le protocole est TCP et le port destination est 80 et le status de la connexion est NEW
Accepter Si le protocole est TCP et le port destination est 443 et le status de la connexion est NEW
Refuser Toujours
Selectionner tout. | Inverser la sélection.

Paquets Transmis (FORWARD)
Selectionner tout. | Inverser la sélection.
Action Condition Déplacer Ajouter
Accepter Si le status de la connexion est ESTABLISHED, RELATED
Accepter Si le protocole est ICMP
Accepter Si l‘interface d‘entrée est lo
Accepter Si l‘interface d‘entrée est eth1
Accepter Si l‘interface d‘entrée est eth2
Refuser Toujours
Selectionner tout. | Inverser la sélection.

Paquets Sortants (OUTPUT)
Il n‘y a pas de règle définie pour cette chaîne

Cliquer sur ce bouton pour activer la configuration du firewall ci-dessus. Toutes les règles du firewall actuellement actives vont être purgées et remplacées.
Cliquer sur ce bouton pour rétablir la configuration listée ci-dessus en fonction de celle actuellement active.
oui Non Sélectionner l‘option voulue pour activer ou ne pas activer IPTables au démarrage de l‘ordinateur.
Cliquer ce bouton pour effacer toutes les règles existantes du Firewall et réinitialiser IPTables avec de nouvelles règles.

Configuration – Fichier iptables

Pour ajouter une nouvelle règle, le plus simple est cliquer sur Accepter de la ligne concernée, par exemple celle de l‘interface d‘entrée qui est lo, puis d‘éditer une règle identique avec le bouton « Cloner la règle » qui se trouve en bas du formulaire, changer l‘interface d‘entrée lo par exemple eth1, sauvegarder cette nouvelle règle et la monter dans la liste.


Règles de Firewall du Fichier /etc/sysconfig/iptables


# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 21 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 53 --state NEW -j ACCEPT
-A INPUT -p udp -m state -m udp --dport 53 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*nat
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed



Attention à la syntaxe du Fichier /etc/sysconfig/iptables


Article connexe du sujet

Le Firewall Netfilter de GNU/Linux
Webmin - Administration Serveur & Système
Webmin - Configurer et lancer

Auteur
Eric Douzet
Début de page
bl br
C-extra.com v. 1.2.2 © 2000-2014, tous droits réservés  –  Mise à jour le 12 Avril 2014 Infologisme.com