PDA

Afficher la version complète : [Réglé] Opensuse, et Iptable



ang1fr
03/03/2009, 15h38
Bonjour,

Mes premiers essais d'Iptables, je compte les faire sous OpenSuse puis après je passerai à une distribution plus "Firewall".

Pour cela, je cherche à savoir où est le fichier où sont marqués les ordres Iptables pour le pare-feu, je ne le trouve pas ...

Merci.

thveillon
04/03/2009, 13h08
Hehe, y'en a pas !

Certains logiciels créent un fichier dans /etc (/etc/rc.firewall par exemple pour Guarddog) avec l'ensemble des règles, d'autres permettent de les exporter/importer (fwbuilder par exemple).

Tu peux facilement "dumper" l'état actuel avec


sudo iptables -L

ou


sudo iptables-save > rules.firewall (tu auras l'ensemble des règles dans un fichier texte "rules.firewall").

Tu peux ensuite charger un fichier de règles avec :


sudo iptables-restore < myrules.firewall


Je ne sais pas ce que Yast peut proposer comme interface graphique pour faire ça, mais si tu veux changer de distribution ensuite de toute façon, ça importe peu.

ang1fr
04/03/2009, 18h50
Merci pour ces infos,

Je suppose qu'elles doivent bien être écrites quelque part ces régles, mais si c'est dans le noyau ??? là en effet, c'est pas accessible.

J'ai lu que dans la distribution IPCOP , il y a un fichier que l'on peut modifier.

Est-ce que quelqu'un soit si dans Dédian c'est le même principe que Opensuse ou il y a un fichier ... :unsure: :unsure: :unsure:

Bonne journée

thveillon
04/03/2009, 20h57
iptables fonctionne au sein du noyau, seuls quelques outils utilisateurs sont installés par le(s) paquet(s) iptables-* .

Si tu veux trouver quelque chose qui ressemble à un fichier, tu trouveras quelques directives qui influencent son comportement dans /etc/sysctl.conf, sinon tente ta chance du côté de /proc/ et|ou /sys/, il est possible que par le biais de fonctions de debug ou profiling on puisse récupérer quelque chose par là. Mais de toute façon je ne vois pas ce que tu veux avoir de plus que ce que peux te donner la commande iptables. Donc le ficher avec la meilleur valeur informative doit être "man iptables" ;)

Dans les distributions orientées firewall il y a certainement un fichier, pour la bonne raison qu'elles doivent être livrées avec une configuration de base que "iptables-restore" charge par défaut, histoire de ne pas avoir une passoire au démarrage, et de guider l'utilisateur par des commentaires judicieux dans le fichier de règles. D'ailleurs rien ne t'empêche de récupérer un tel fichier et de le réutiliser sur n'importe quelle distribution, iptables fonctionne pareil sur toutes les distributions à noyau 2.6* je pense.
Les options avancées de iptables se règlent à la compilation du noyau, ou pour certaines via sysctl.conf ou une option équivalente dans une entrée grub. Donc je pense que :


egrep -i '(iptables|netfilter|ipv)' /boot/config-$(uname -r)

te renseignera sur la configuration du noyau, mais une meilleur solution est de lancer un xconfig ou menuconfig ou gconfig sur les sources d'un noyau 2.6* vanilla et de regarder les options disponibles, et leurs commentaires, ce qui devrait occuper une soirée facilement ! :bestbook:

yulpocket
04/03/2009, 21h08
iptables est un outil formidable et très puissant. Personnellement, je me suis monté mon firewall perso avec, pas besoin d'une distri "orienté Firewall", personnellement, il tourne sur une Mandriva avec installation minimaliste. J'ai écrit mon script de A à Z après avoir lu diverses documentations, voici les sites qui m'ont aidé à comprendre :

http://olivieraj.free.fr/fr/linux/informat...l/fw-03-10.html (http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-10.html)

http://irp.nain-t.net/doku.php/130netfilter:start

Ensuite, je dois dire qu'il a beaucoup d'heures de travail mais quel plaisir d'en comprendre le fonctionnement. Tu trouveras également une excellente base de script dans le divers de ce site : http://sid.rstack.org/index.php/Contributions#Cours

Maintenant, l'appliquer bêtement sans comprendre ne te servira pas à grand chose ....

thveillon
04/03/2009, 21h19
Pour la pêche aux liens :

http://www.justlinux.com/nhf/Security/IPtables_Basics.html

http://www.debian.org/doc/manuals/securing...-firewall-setup (http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html#s-firewall-setup)

http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html (http://iptables-tutorial.frozentux.net/iptables-tutorial.html)

C'est tout en English of curse (jeu de mots laid avec "of course" (bien sur) et "curse" (malédiction), comprend qui veut.)

yoplait
05/03/2009, 00h19
Tiens, je viens justement de m'en imprimer une cinquantaine de pages pour m'y mettre un ch'ti peu ...
dur dur de faire des choix de lecture entre le bash/script et ca, c'est déjà difficile !!!

thveillon
05/03/2009, 00h55
Franchement, je choisirais bash, avec des outils comme fwbuilder, shorewall, bastille, ou guarddog pour un poste personnel, il y a juste à comprendre le fonctionnement de base (un peu plus en fonction des besoins: port forwarding, dmz...) et aller faire autre chose ! On ferme tout, on ouvre juste le strict nécessaire, et on va à la pêche avec les mails système et les sorties de logcheck forwardés sur son portable !

Alors que pour bash, il n'y a pas encore d'interfaces graphiques pour lire dans ton esprit ce que tu veux faire et te sortir le script qui tue ! Faut bosser !

Maintenant pour la culture, fromage et dessert c'est toujours intéressant.

yoplait
05/03/2009, 08h56
vu comme ca ... :D

Les deux me servent pour un serveur dédié (et pour la culture fromagère aussi), c'est sympa de pouvoir automatiser avec bash, y'a pas à dire, c'est même assez marrant de n'avoir plus qu'à lancer un p'tit script au lieu de faire sans cesse les mêmes manip'.
Par contre, iptables me semble quand même nécessaire un minimum pour ... un minimum de sécurité !

thveillon
05/03/2009, 11h58
Quand j'ai commencé gnu-linux, j'étais obnubilé par le pare-feu. Puis j'ai discuté avec des administrateurs de serveurs plutôt expérimentés, et il se trouve qu'une bonne partie d'entre eux ne voyaient pas l'intérêt d'un pare-feu sur une machine isolée, de plus derrière un routeur en NAT. En gros soit l'ordinateur est configuré correctement, avec juste ce qu'il faut de services qui écoutent, et un système à jour, soit on va dans le mur de toute façon... Le seul intérêt du pare-feu pour eux était de rattraper les erreurs de configuration, éventuellement, et encore car si on a besoin d'un service en écoute, par définition le pare-feu a les ports correspondant ouverts. Ça évite juste d'installer quelque chose par inadvertance (?!) qui écoute sur un port commun sans avoir été correctement configuré.
Exemple: si on a ssh qui tourne sur une machine, le port 22 (ou un autre) sera ouvert, donc pare-feu ou pas on sera victime d'attaques brute-de-force, c'est plutôt une authentification par clé, fail2ban, logcheck ... qui seront utiles.

Le pare-feu servait pour eux à mettre en place des règles de restrictions d'accès, de routage (nat, port-forwarding ...), sur une machine dédiées et dans le cadre d'un réseau complexe ou le comportement des utilisateurs n'est pas prédictible.

Celà étant dit, j'ai mis ces conseils dans ma musette, et j'ai configuré mon pare-feu ! Mais j'ai bien compris le pourquoi de leurs propos et ça m'a ammené à aborder la sécurisation d'un système de manière différente. Par exemple il vaut mieux passer son temps à chrooter apache, installer suexec, mettre php hors d'état de nuire (...), que de se prendre la tête avec un pare-feu dont le port 80 est de toute façon ouvert...

ang1fr
05/03/2009, 12h40
Merci à tous et pour tout :D

yoplait
05/03/2009, 14h01
Je suis tout à fait d'accord avec tes propos thveillon, mais une fois le tout configuré à souhait (et du meilleur de mes connaissances actuelles...), autant aussi en rajouter une couche avec iptables pour les accès par ip par exemple, pour filtrer les demandes d'accès sur le port 80, etc...

thveillon
05/03/2009, 14h48
Oui, le but n'est pas de dire qu'iptables ne sert à rien ! Je pense que sinon il aurait disparu depuis longtemps du noyau et ne mobiliserait pas autant d'efforts de développement ! Mais il faut l'utiliser comme tu viens de le décrire, c'est un des élément de la sécurisation d'un système, parmi beaucoup d'autres. Sauf chez Ubuntu où quelqu'un a décidé que ça ne servait plus à rien, et que gnu-linux devait aussi être une passoire pour mieux ressembler à son concurrent principal... (pour info, Ubuntu livre un pare-feu totalement désactivé par défaut, l'argument étant qu'aujourd'hui "tout le monde est derrière une box/routeur qui fait office de pare-feu et fait du nat, et qu'aucun service n'écoute de ports publiques sur une installation de base").
Au moins ils ne sont pas obsédés par le pare-feu chez Canonical ! :rolleyes:

oh!rocks
05/03/2009, 15h27
En même temps Shuttleworth (le boss d'Ubuntu) est un ancien mainteneur d'Apache pour Debian... il a peut-être quelques connaissances sur le sujet... même si cette désactivation obéit principalement à des critères marketing. :rolleyes:

En tant que cible de base de ce type de distribution (utilisateur lambda qui veut juste profiter d'Internet - même si je fais des efforts pour me soigner), configurer un pare-feu est une locution avec deux mots compliqués... :D

Et puis faut bien faire vivre les SSLL... ;)


à plus,

oh!rocks