Lea Linux - Contributions [fr]

ProFTPD MySQL et quotas

2005-12-06T13:17:55Z

Madhatter : /* ProFTPD, MySQL et Quota */

[[Category:Partager ses fichiers]]
= ProFTPD, MySQL et Quota =

<div class="leatitre">ProFTPD, MySQL et Quota</div><div class="leapar">par [mailto:howto@espace.fr.to Space2d] </div><div class="leadesc">Exemple d'utilisation du support MySQL pour ProFTPD avec gestion des quotas</div>

== Prérequis ==

Je vous conseille de lire d'abord le didactitiel de DuF : [http://lea-linux.org/reseau/partfic/proftpd.html Introduction à proftpd]

Il vous faut un système avec un serveur MySQL installé avec si possible un serveur web et PHPMyAdmin pour faciliter l'administration de la BD.

<div class="note">Rmq : Ce document peut aussi convenir à la configuration du support PostGreSQL.</div>

== Introduction ==

Au début, j'utilisais le serveur ProFTPD avec la configuration d'origine (ou presque), donc sur la base de l'authentification unix. J'ai eu besoin de modifier regulièrement les comptes FTP. Ajouter et supprimer les utlisateurs (compte linux) devient vite lourd. Je me suis donc penché sur le support MySQL de ProFTPD et je vous propose mes explications.

Le fait d'utiliser l'authentification de ProFTPD par base de données vous permet, par exemple, de faire une page php de configuration ou d'administrer facilement vos comptes ftp via l'interface Web PHPMyAdmin.

== Installation ==

* Soit vous installez ProFTPD à partir de package. (Soyez sur que le package va installer le support MySQL)
* Soit à partir des sources.

=== Sous Debian (apt) ===

Il suffit de taper en tant que '''root''' :

<div class="code"><nowiki>#apt-get install proftpd-mysql</nowiki></div>

=== A partir des sources ===

Téléchargez les sources en allant sur le [http://www.proftpd.org site de proftpd] pour obtenir la version la plus récente.

Décompressez-les et lancez la compilation :

<div class="code">tar jxvf proftpd-''version''.tar.bz2 cd proftpd-''version'' ./configure\ --with-modules=mod_sql:mod_sql_mysql:mod_quotatab:mod_quotatab_sql\ --with-includes=/usr/include/mysql\ --with-libraries=/usr/lib make</div>

Et en tant que '''root''' : <code>make install</code>

== Configuration ==

=== Linux ===

Créer un groupe ''ftpgroup'' avec un GID de 5500 :

<div class=code>groupadd -g 5500 ftpgroup</div>

[[Explications :]]
* '''groupadd''' : invoque la commande d'ajout de groupe.
* '''-g 5500''' : défini le GID (numéro identifiant) du groupe.
* '''ftpgroup''' : défini le nom du group.

Créer un utilisateur ''ftpuser'' avec un UID de 5500 :

<div class=code>useradd -u 5500 -s /bin/false -d /bin/null -c "proftpd user" -g ftpgroup ftpuser</div>

[[Explications :]]
* '''useradd''' : invoque la commande d'ajout d'utilisateur.
* '''-u 5500''' : défini l'UID (numéro identifiant) de l'utilisateur.
* '''-s /bin/false''' : défini le shell utilisé pour cet utilisateur, en l'occurence, aucun puisque la connection sur une console linux est désactivée pour cet utilisateur.
* '''-d /bin/null''' : défini le répertoire de l'utilisateur, également inexistant.
* '''-c "proftp user"''' : commentaire.
* '''-g ftpgroup''' : ajoute l'utilisateur ''ftpuser'' au group ''ftpgroup'' précédemment créé.
* '''ftpuser''' : défini le nom de l'utilisateur.

Le groupe et l'utilisateur ainsi créés serviront de lien entre les utilisateurs créés dans la base MySQL et le système d'authentification/droits du système.

=== La base de données ===

Entrez dans l'interface de la base de données :

* si vous n'avez jamais modifié les utilisateurs de la base : <code>mysql -u root</code>
* sinon (avec un utilisateur/pwd ayant le droit de modifier la base): <code>mysql -u ''utilisateur'' -p</code>

Il faut tout d'abord créer la base de données (ex : proftpd) et les tables qu'elle contient.

<div class="code"> CREATE DATABASE `proftpd`; USE proftpd; -- -- Table structure for table `ftpgroup` -- CREATE TABLE `ftpgroup` ( <nowiki> `groupname` varchar(16) NOT NULL default '',</nowiki> `gid` smallint(6) NOT NULL default '5500', <nowiki> `members` varchar(16) NOT NULL default '',</nowiki> KEY `groupname` (`groupname`) ) TYPE=MyISAM COMMENT='Table des groupes ProFTPD'; -- -- Table structure for table `ftpquotalimits` -- CREATE TABLE `ftpquotalimits` ( `name` varchar(30) default NULL, `quota_type` enum('user','group','class','all') NOT NULL default 'user', `par_session` enum('false','true') NOT NULL default 'false', `limit_type` enum('soft','hard') NOT NULL default 'soft', `bytes_up_limit` float NOT NULL default '0', `bytes_down_limit` float NOT NULL default '0', `bytes_transfer_limit` float NOT NULL default '0', `files_up_limit` int(10) unsigned NOT NULL default '0', `files_down_limit` int(10) unsigned NOT NULL default '0', `files_transfer_limit` int(10) unsigned NOT NULL default '0' ) TYPE=MyISAM COMMENT='Table des quotas ProFTPD'; -- -- Table structure for table `ftpquotatotal` -- CREATE TABLE `ftpquotatotal` ( <nowiki> `name` varchar(30) NOT NULL default '',</nowiki> `quota_type` enum('user','group','class','all') NOT NULL default 'user', `bytes_up_total` float NOT NULL default '0', `bytes_down_total` float NOT NULL default '0', `bytes_transfer_total` float NOT NULL default '0', `files_up_total` int(10) unsigned NOT NULL default '0', `files_down_total` int(10) unsigned NOT NULL default '0', `files_transfer_total` int(10) unsigned NOT NULL default '0' ) TYPE=MyISAM COMMENT='Table des compteurs des quotas ProFTPD'; -- -- Table structure for table `ftpuser` -- CREATE TABLE `ftpuser` ( `id` int(10) unsigned NOT NULL auto_increment, <nowiki> `userid` varchar(32) NOT NULL default '',</nowiki> <nowiki> `passwd` varchar(32) NOT NULL default '',</nowiki> `uid` smallint(6) NOT NULL default '5500', `gid` smallint(6) NOT NULL default '5500', <nowiki> `homedir` varchar(255) NOT NULL default '',</nowiki> `shell` varchar(16) NOT NULL default '/bin/false', `count` int(11) NOT NULL default '0', `accessed` datetime NOT NULL default '0000-00-00 00:00:00', `modified` datetime NOT NULL default '0000-00-00 00:00:00', `LoginAllowed` enum('true','false') NOT NULL default 'true', PRIMARY KEY (`id`) ) TYPE=MyISAM COMMENT='Table des utlisateurs ProFTPD'; </div>

Ensuite il faut créer un nouvel utilisateur (ex : proftpd) avec un mot de passe (ex : password) qui a seulement les droits de lire les données de la base proftpd:

<div class="code">GRANT USAGE ON proftpd.localhost TO '''proftpd'''@'localhost' IDENTIFIED BY '''password''' WITH GRANT OPTION;</div><div class="alert">Attention : Si votre serveur MySQL n'est pas sur la même machine que ProFTPD remplacez localhost par le nom de la machine (du serveur MySQL) ou par *</div>

=== Configuration de ProFTPD ===

Editez le fichier <code>/etc/proftpd.conf</code>.

<div class="code"> # Configuration de base # ===================== ServerName "Mon serveur FTP" ServerType standalone ServerIdent on "Bienvenue sur mon ftp. Veuillez-vous identifiez" DeferWelcome on ServerAdmin "ftp_admin@mydomain.com" MultilineRFC2228 on DefaultServer on ShowSymlinks on AllowOverwrite on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 ListOptions "-l" Defaultroot ~ DenyFilter \*.*/ Port 21 # A configurer selon sa connection # ================================ MaxInstances 6 MaxLoginAttempts 3 MaxClientsPerUser 10 MaxClientsPerHost 2 MaxHostsPerUser 4 MaxClients 6 "Limite a 6 utilisateurs" # ProFTPD est exécuté avec des droits réduits # ============================================ User nobody Group nogroup Umask 022 AllowStoreRestart on AllowRetrieveRestart on # Mod MySQL # ========= # Les mots de passe sont cryptés dans la base avec la fct ENCRYPT (MySQL) SQLAuthTypes Plaintext Crypt SQLAuthenticate users* groups* # Modifiez cette ligne selon l'utilisateur et le mot de passe définit plus tôt SQLConnectInfo ''proftpd@localhost proftpd password'' # On donne à ProFTPD le nom des colonnes de la table usertable SQLUserInfo ftpuser userid passwd uid gid homedir shell SQLUserWhereClause "LoginAllowed = 'true'" # On donne à ProFTPD le nom des colonnes de la table "grouptable" SQLGroupInfo ftpgroup groupname gid members # Créer le repertoire home de l'utilisateur si il n'existe pas SQLHomedirOnDemand on # Met à jour les compteurs à chaque connection d'un utilisateur SQLLog PASS updatecount SQLNamedQuery updatecount UPDATE "count=count+1, accessed=now() WHERE userid='%u'" ftpuser #Met à jour les compteurs à chaque upload ou download d'un utilisateur SQLLog STOR,DELE modified SQLNamedQuery modified UPDATE "modified=now() WHERE userid='%u'" ftpuser # Mod quota # ========= QuotaEngine on QuotaDirectoryTally on QuotaDisplayUnits Mb QuotaShowQuotas on # Définit les requêtes SQL pour que ProFTPd recupere les infos sur les quotas SQLNamedQuery get-quota-limit SELECT "name, quota_type, par_session, limit_type, bytes_up_limit, bytes_down_limit, bytes_transfer_limit, files_up_limit, files_down_limit, files_transfer_limit FROM ftpquotalimits WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_up_total, bytes_down_total, bytes_transfer_total, files_up_total, files_down_total, files_transfer_total FROM ftpquotatotal WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery update-quota-tally UPDATE "bytes_up_total = bytes_up_total + %{0}, bytes_down_total = bytes_down_total + %{1}, bytes_transfer_total = bytes_transfer_total + %{2}, files_up_total = files_up_total + %{3}, files_down_total = files_down_total + %{4}, files_transfer_total = files_transfer_total + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" ftpquotatotal SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" ftpquotatotal QuotaLimitTable sql:/get-quota-limit QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally RootLogin off RequireValidShell off # Gestion des logs # ================ # Enregistre les requêtes SQL dans /var/log/proftpd/mysql.log SQLLogFile /var/log/proftpd/mysql.log # Enregistre les authentifications LogFormat auth "%v [%P] %h %t \"%r\" %s" ExtendedLog /var/log/proftpd/auth.log AUTH auth # Enregistre les accès aux fichiers LogFormat write "%h %l %u %t \"%r\" %s %b" ExtendedLog /var/log/proftpd/access.log WRITE,READ write # Recupère le nom à partir de l'ip de la machine de l'utilisateur ( resolution DNS ) IdentLookups on </div>

Maintenant vous pouvez redémarrer le serveur ProFTPd pour appliquer la configuration :

<div class="code">/etc/init.d/proftpd restart</div>

== Utilisation ==

Maintenant que la configuration est faite, nous allons voir comment gérer les utilisateurs à travers la base de données.

Je vous conseille d'utiliser PHPMyAdmin pour ceux qui ne connaissent pas le langage SQL.

=== Gestion des utilisateurs ===

==== Ajout d'un utilisateur ====

Création de l'utilisateur 'test' avec un mot de passe 'pwd'. Cet utilisateur a accès au repertoire '/home/ftp/test' avec les droits de l'utilisateur (UID) 5500, et de groupe (GID) 5500, sans shell ('/bin/false').

La valeur 'LoginAllowed' est mise à 'true' pour autoriser la connection de cet utilisateur, à 'false' pour l'interdire.

<div class="code"><nowiki>INSERT INTO `ftpuser` ( `id`, `userid`, `passwd`, `uid`, `gid`, `homedir`, `shell`, `count`, `accessed` , `modified`, `LoginAllowed` ) VALUES ('', 'test', ENCRYPT('pwd'), '5500', '5500', '/home/ftp/test', '/bin/false', '', '', '', 'true' ); </nowiki></div>

'count' représente le nombre d'authentifications effectuées par cet utilisateur, 'accessed' la date du dernier accès et 'modified' la date de la dernière écriture.

==== Suppression d'un utilisateur ====

Suppression de l'utilisateur 'test'

<div class="code">DELETE FROM `ftpuser` WHERE `userid`='test'; DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des groupes ===

==== Affecter un utilisateur à un groupe ====

Affecte l'utilisateur 'test' au groupe 'group_test' avec les droits de groupe (GID) du groupe 5500

<div class="code">INSERT INTO `ftpgroup` ( `groupname` , `gid` , `members` ) VALUES ('group_test', '5500', 'test');</div>

==== Enlever un utilisateur d'un groupe ====

Enlève l'utilisateur 'test' du groupe 'group_test'

<div class="code">DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des quotas ===

La table 'ftpquotalimits' contient la description des quotas. La table 'ftpquotatotal' contient les statistiques d'utilisation correspondant aux règles des quotas défini dans la table 'ftpquotalimits'. Cette table permet à ProFTPd de gérer les quotas.

==== Ajouter une règles de quotas ====

Exécuter la requête suivante :

<div class="code">INSERT INTO `ftpquotalimits` ( `name`, `quota_type`, `par_session`, `limit_type`, `bytes_up_limit`, `bytes_down_limit`, `bytes_transfer_limit`, `files_up_limit`, `files_down_limit`, `files_transfer_limit` ) VALUES ( 'NOM' , 'TYPE', 'SESSION', 'LIMIT_TYPE', 'B_UP', 'B_DOWN', 'B_TRANS', 'F_UP', 'F_DOWN', 'F_TRANS');</div>

où

* '''name''' : nom de l'utilisateur, du groupe ou de la règle selon la valeur de '''quota_type'''.
* '''quota_type''' : 'user' si le quota s'applique à un utilisateur, 'group' à un groupe, 'class' à une classe (ici inutile), 'all' à tous les utilisateurs.
* '''par_session''' : 'true' si les quotas doivent être remis à zéro à chaque nouvelle session, 'false' sinon. ('false' est conseillé).
* '''limit_type''' : 'soft' pour une mesure logicielle de la taille, 'hard' pour une mesure hardware.
* '''bytes_up_limit''' : taille (en Mbytes) autorisé à être uploadé sur le serveur.
* '''bytes_down_limit''' : taille (en Mbytes) autorisé à être downloadé à partir du serveur.
* '''bytes_transfer_limit''' : taille (en Mbytes) autorisé à transféré à sur et à partir du serveur (upload+download).
* '''files_up_limit''' : nombre de fichiers autorisé à être uploadé sur le serveur.
* '''files_down_limit''' : nombre de fichiers autorisé à être downloadé à partir du serveur.
* '''files_transfer_limit''' : nombre de fichiers autorisé à transféré sur et à partir du serveur (upload+download).

<div class="note">Pour définir un quota illimité à l'un des champs, mettez une valeur négative ou nulle.</div>

<div class="alert">Attention : Les quotas de type 'all', 'class' ou 'group' ne définissent pas un quota pour chaque utilisateur mais un quota partagé par tous les utlisateurs concernés par cette règle.</div>

==== Réinitialiser les quotas ====

Il suffit de supprimer l'entrée (ligne) correspondant à la règle devant être réinitialisé. Par exemple :

<div class="code">DELETE FROM `ftpquotatotal` WHERE `name`='test' AND `quota_type`='user';</div>

Si vous voulez réinitialiser tous les quotas, par exemple tous les mois, faîtes une tâche cron se connectant sur le serveur et exécutant la requête suivante :

<div class="code">TRUNCATE TABLE `ftpquotatotal`;</div>

Et voilà, c'est terminé... Vous n'avez plus qu'à tester ;-)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par space2d le 24/04/2005.</div>

= Copyright =
Copyright © 24/04/2005, space2d
{{CC-BY-SA}}

Discussion:ProFTPD MySQL et quotas

2005-12-06T11:01:18Z

Madhatter : /* Commentaire de : MadHatter - 06/12/2005 */

=Commentaires de : SylvainBolay=
posté le 2005-09-30 11:37:53

Bonjour,

Lors de la création du nouvel utilisateur (ex: proftpd) une erreur s'est glissée dans la requête SQL.

Il faut remplacer "localhost" par "*" après la requète GRANT USAGE ON proftpd.localhost.
En effet, l'astérisque permet de séléctionner toute les tables de la base de donnée proftpd.

Voici ci-dessous la version corrigée:

GRANT USAGE ON proftpd.* TO 'proftpd'@'localhost'
IDENTIFIED BY 'password' WITH GRANT OPTION;

P.S. Merci pour ce super article

Salutations / Sylvain Bolay / 30.09.2005

=Commentaire de MadHatter - 06/12/2005=

La gestion des quotas ne fonctionne pas. (en tout cas pour moi. J'ai pourtant scrupuleusement respecté le didactitiel).

Par ailleurs, il semblerait que lorsqu'elle fonctionne, lors d'un envoi de fichiers sur le serveur, si l'envoi est hors quota, il est quand meme envoyé mais le fichier est ensuite supprimé automatiquement du serveur (cf : http://www.khoosys.net/single.htm?ipg=848).

Il semblerait également, qu'aucun message n'avertisse l'utilisateur du dépassement de quota (quel qu'il soit). Ce qui est un peu génant, surtout dans le cas d'une suppression automatique d'un fichier transféré, cité précédemment.

Je vais continuer à prospecter et tester de mon coté, mais si quelqu'un a trouvé une solution, il est le bienvenu... ;)

MadHatter.

Discussion:ProFTPD MySQL et quotas

2005-12-06T11:00:51Z

Madhatter : /* Commentaires de : SylvainBolay */

=Commentaires de : SylvainBolay=
posté le 2005-09-30 11:37:53

Bonjour,

Lors de la création du nouvel utilisateur (ex: proftpd) une erreur s'est glissée dans la requête SQL.

Il faut remplacer "localhost" par "*" après la requète GRANT USAGE ON proftpd.localhost.
En effet, l'astérisque permet de séléctionner toute les tables de la base de donnée proftpd.

Voici ci-dessous la version corrigée:

GRANT USAGE ON proftpd.* TO 'proftpd'@'localhost'
IDENTIFIED BY 'password' WITH GRANT OPTION;

P.S. Merci pour ce super article

Salutations / Sylvain Bolay / 30.09.2005

=Commentaire de : MadHatter - 06/12/2005=

La gestion des quotas ne fonctionne pas. (en tout cas pour moi. J'ai pourtant scrupuleusement respecté le didactitiel).

Par ailleurs, il semblerait que lorsqu'elle fonctionne, lors d'un envoi de fichiers sur le serveur, si l'envoi est hors quota, il est quand meme envoyé mais le fichier est ensuite supprimé automatiquement du serveur (cf : http://www.khoosys.net/single.htm?ipg=848).

Il semblerait également, qu'aucun message n'avertisse l'utilisateur du dépassement de quota (quel qu'il soit). Ce qui est un peu génant, surtout dans le cas d'une suppression automatique d'un fichier transféré, cité précédemment.

Je vais continuer à prospecter et tester de mon coté, mais si quelqu'un a trouvé une solution, il est le bienvenu... ;)

MadHatter.

Discussion:ProFTPD MySQL et quotas

2005-12-06T10:59:12Z

Madhatter :

=Commentaires de : SylvainBolay=
posté le 2005-09-30 11:37:53

Bonjour,

Lors de la création du nouvel utilisateur (ex: proftpd) une erreur s'est glissée dans la requête SQL.

Il faut remplacer "localhost" par "*" après la requète GRANT USAGE ON proftpd.localhost.
En effet, l'astérisque permet de séléctionner toute les tables de la base de donnée proftpd.

Voici ci-dessous la version corrigée:

GRANT USAGE ON proftpd.* TO 'proftpd'@'localhost'
IDENTIFIED BY 'password' WITH GRANT OPTION;

P.S. Merci pour ce super article

Salutations / Sylvain Bolay / 30.09.2005

La gestion des quotas ne fonctionne pas. (en tout cas pour moi. J'ai pourtant scrupuleusement respecté le didactitiel).

Par ailleurs, il semblerait que lorsqu'elle fonctionne, lors d'un envoi de fichiers sur le serveur, si l'envoi est hors quota, il est quand meme envoyé mais le fichier est ensuite supprimé automatiquement du serveur (cf : http://www.khoosys.net/single.htm?ipg=848).

Il semblerait également, qu'aucun message n'avertisse l'utilisateur du dépassement de quota (quel qu'il soit). Ce qui est un peu génant, surtout dans le cas d'une suppression automatique d'un fichier transféré, cité précédemment.

Je vais continuer à prospecter et tester de mon coté, mais si quelqu'un a trouvé une solution, il est le bienvenu... ;)

ProFTPD MySQL et quotas

2005-12-06T10:19:40Z

Madhatter : /* Configuration */

[[Category:Partager ses fichiers]]
= ProFTPD, MySQL et Quota =

<div class="leatitre">ProFTPD, MySQL et Quota</div><div class="leapar">par [mailto:howto@espace.fr.to Space2d] </div><div class="leadesc">Exemple d'utilisation du support MySQL pour ProFTPD avec gestion des quotas</div>

== Prérequis ==

Je vous conseille de lire d'abord le tutoriel de DuF : [http://lea-linux.org/reseau/partfic/proftpd.html Introduction à proftpd]

Il vous faut un système avec un serveur MySQL installé avec si possible un serveur web et PHPMyAdmin pour faciliter l'administration de la BD.

<div class="note">Rmq : Ce document peut aussi convenir à la configuration du support PostGreSQL.</div>

== Introduction ==

Au début, j'utilisais le serveur ProFTPD avec la configuration d'origine (ou presque), donc sur la base de l'authentification unix. J'ai eu besoin de modifier regulièrement les comptes FTP. Ajouter et supprimer les utlisateurs (compte linux) devient vite lourd. Je me suis donc penché sur le support MySQL de ProFTPD et je vous propose mes explications.

Le fait d'utiliser l'authentification de ProFTPD par base de données vous permet, par exemple, de faire une page php de configuration ou d'administrer facilement vos comptes ftp via l'interface Web PHPMyAdmin.

== Installation ==

* Soit vous installez ProFTPD à partir de package. (Soyez sur que le package va installer le support MySQL)
* Soit à partir des sources.

=== Sous Debian (apt) ===

Il suffit de taper en tant que '''root''' :

<div class="code"><nowiki>#apt-get install proftpd-mysql</nowiki></div>

=== A partir des sources ===

Téléchargez les sources en allant sur le [http://www.proftpd.org site de proftpd] pour obtenir la version la plus récente.

Décompressez-les et lancez la compilation :

<div class="code">tar jxvf proftpd-''version''.tar.bz2 cd proftpd-''version'' ./configure\ --with-modules=mod_sql:mod_sql_mysql:mod_quotatab:mod_quotatab_sql\ --with-includes=/usr/include/mysql\ --with-libraries=/usr/lib make</div>

Et en tant que '''root''' : <code>make install</code>

== Configuration ==

=== Linux ===

Créer un groupe ''ftpgroup'' avec un GID de 5500 :

<div class=code>groupadd -g 5500 ftpgroup</div>

[[Explications :]]
* '''groupadd''' : invoque la commande d'ajout de groupe.
* '''-g 5500''' : défini le GID (numéro identifiant) du groupe.
* '''ftpgroup''' : défini le nom du group.

Créer un utilisateur ''ftpuser'' avec un UID de 5500 :

<div class=code>useradd -u 5500 -s /bin/false -d /bin/null -c "proftpd user" -g ftpgroup ftpuser</div>

[[Explications :]]
* '''useradd''' : invoque la commande d'ajout d'utilisateur.
* '''-u 5500''' : défini l'UID (numéro identifiant) de l'utilisateur.
* '''-s /bin/false''' : défini le shell utilisé pour cet utilisateur, en l'occurence, aucun puisque la connection sur une console linux est désactivée pour cet utilisateur.
* '''-d /bin/null''' : défini le répertoire de l'utilisateur, également inexistant.
* '''-c "proftp user"''' : commentaire.
* '''-g ftpgroup''' : ajoute l'utilisateur ''ftpuser'' au group ''ftpgroup'' précédemment créé.
* '''ftpuser''' : défini le nom de l'utilisateur.

Le groupe et l'utilisateur ainsi créés serviront de lien entre les utilisateurs créés dans la base MySQL et le système d'authentification/droits du système.

=== La base de données ===

Entrez dans l'interface de la base de données :

* si vous n'avez jamais modifié les utilisateurs de la base : <code>mysql -u root</code>
* sinon (avec un utilisateur/pwd ayant le droit de modifier la base): <code>mysql -u ''utilisateur'' -p</code>

Il faut tout d'abord créer la base de données (ex : proftpd) et les tables qu'elle contient.

<div class="code"> CREATE DATABASE `proftpd`; USE proftpd; -- -- Table structure for table `ftpgroup` -- CREATE TABLE `ftpgroup` ( <nowiki> `groupname` varchar(16) NOT NULL default '',</nowiki> `gid` smallint(6) NOT NULL default '5500', <nowiki> `members` varchar(16) NOT NULL default '',</nowiki> KEY `groupname` (`groupname`) ) TYPE=MyISAM COMMENT='Table des groupes ProFTPD'; -- -- Table structure for table `ftpquotalimits` -- CREATE TABLE `ftpquotalimits` ( `name` varchar(30) default NULL, `quota_type` enum('user','group','class','all') NOT NULL default 'user', `par_session` enum('false','true') NOT NULL default 'false', `limit_type` enum('soft','hard') NOT NULL default 'soft', `bytes_up_limit` float NOT NULL default '0', `bytes_down_limit` float NOT NULL default '0', `bytes_transfer_limit` float NOT NULL default '0', `files_up_limit` int(10) unsigned NOT NULL default '0', `files_down_limit` int(10) unsigned NOT NULL default '0', `files_transfer_limit` int(10) unsigned NOT NULL default '0' ) TYPE=MyISAM COMMENT='Table des quotas ProFTPD'; -- -- Table structure for table `ftpquotatotal` -- CREATE TABLE `ftpquotatotal` ( <nowiki> `name` varchar(30) NOT NULL default '',</nowiki> `quota_type` enum('user','group','class','all') NOT NULL default 'user', `bytes_up_total` float NOT NULL default '0', `bytes_down_total` float NOT NULL default '0', `bytes_transfer_total` float NOT NULL default '0', `files_up_total` int(10) unsigned NOT NULL default '0', `files_down_total` int(10) unsigned NOT NULL default '0', `files_transfer_total` int(10) unsigned NOT NULL default '0' ) TYPE=MyISAM COMMENT='Table des compteurs des quotas ProFTPD'; -- -- Table structure for table `ftpuser` -- CREATE TABLE `ftpuser` ( `id` int(10) unsigned NOT NULL auto_increment, <nowiki> `userid` varchar(32) NOT NULL default '',</nowiki> <nowiki> `passwd` varchar(32) NOT NULL default '',</nowiki> `uid` smallint(6) NOT NULL default '5500', `gid` smallint(6) NOT NULL default '5500', <nowiki> `homedir` varchar(255) NOT NULL default '',</nowiki> `shell` varchar(16) NOT NULL default '/bin/false', `count` int(11) NOT NULL default '0', `accessed` datetime NOT NULL default '0000-00-00 00:00:00', `modified` datetime NOT NULL default '0000-00-00 00:00:00', `LoginAllowed` enum('true','false') NOT NULL default 'true', PRIMARY KEY (`id`) ) TYPE=MyISAM COMMENT='Table des utlisateurs ProFTPD'; </div>

Ensuite il faut créer un nouvel utilisateur (ex : proftpd) avec un mot de passe (ex : password) qui a seulement les droits de lire les données de la base proftpd:

<div class="code">GRANT USAGE ON proftpd.localhost TO '''proftpd'''@'localhost' IDENTIFIED BY '''password''' WITH GRANT OPTION;</div><div class="alert">Attention : Si votre serveur MySQL n'est sur la même machine que ProFTPD remplacer localhost par le nom de la machine (du serveur MySQL) ou par *</div>

=== Configuration de ProFTPD ===

Editez le fichier <code>/etc/proftpd.conf</code>.

<div class="code"> # Configuration de base # ===================== ServerName "Mon serveur FTP" ServerType standalone ServerIdent on "Bienvenue sur mon ftp. Veuillez-vous identifiez" DeferWelcome on ServerAdmin "ftp_admin@mydomain.com" MultilineRFC2228 on DefaultServer on ShowSymlinks on AllowOverwrite on TimeoutNoTransfer 600 TimeoutStalled 600 TimeoutIdle 1200 ListOptions "-l" Defaultroot ~ DenyFilter \*.*/ Port 21 # A configurer selon sa connection # ================================ MaxInstances 6 MaxLoginAttempts 3 MaxClientsPerUser 10 MaxClientsPerHost 2 MaxHostsPerUser 4 MaxClients 6 "Limite a 6 utilisateurs" # ProFTPD est excecuté avec des droits réduits # ============================================ User nobody Group nogroup Umask 022 AllowStoreRestart on AllowRetrieveRestart on # Mod MySQL # ========= # Les mots de passe sont cryptés ds la base avec la fct ENCRYPT (MySQL) SQLAuthTypes Plaintext Crypt SQLAuthenticate users* groups* # Modifiez cette ligne selon l'utilisateur et le mot de passe définit plutôt SQLConnectInfo ''proftpd@localhost proftpd password'' # On donne à ProFTPD le nom des colonnes de la table usertable SQLUserInfo ftpuser userid passwd uid gid homedir shell SQLUserWhereClause "LoginAllowed = 'true'" # On donne à ProFTPD le nom des colonnes de la table "grouptable" SQLGroupInfo ftpgroup groupname gid members # Créer le repertoire home de l'utilisateur si il n'existe pas SQLHomedirOnDemand on # Met à jour les compteurs à chaque connection d'un utilisateur SQLLog PASS updatecount SQLNamedQuery updatecount UPDATE "count=count+1, accessed=now() WHERE userid='%u'" ftpuser #Met à jour les compteurs à chaque upload ou download d'un utilisateur SQLLog STOR,DELE modified SQLNamedQuery modified UPDATE "modified=now() WHERE userid='%u'" ftpuser # Mod quota # ========= QuotaEngine on QuotaDirectoryTally on QuotaDisplayUnits Mb QuotaShowQuotas on # Définit les requêtes SQL pour que ProFTPd recupere les infos sur les quotas SQLNamedQuery get-quota-limit SELECT "name, quota_type, par_session, limit_type, bytes_up_limit, bytes_down_limit, bytes_transfer_limit, files_up_limit, files_down_limit, files_transfer_limit FROM ftpquotalimits WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery get-quota-tally SELECT "name, quota_type, bytes_up_total, bytes_down_total, bytes_transfer_total, files_up_total, files_down_total, files_transfer_total FROM ftpquotatotal WHERE name = '%{0}' AND quota_type = '%{1}'" SQLNamedQuery update-quota-tally UPDATE "bytes_up_total = bytes_up_total + %{0}, bytes_down_total = bytes_down_total + %{1}, bytes_transfer_total = bytes_transfer_total + %{2}, files_up_total = files_up_total + %{3}, files_down_total = files_down_total + %{4}, files_transfer_total = files_transfer_total + %{5} WHERE name = '%{6}' AND quota_type = '%{7}'" ftpquotatotal SQLNamedQuery insert-quota-tally INSERT "%{0}, %{1}, %{2}, %{3}, %{4}, %{5}, %{6}, %{7}" ftpquotatotal QuotaLimitTable sql:/get-quota-limit QuotaTallyTable sql:/get-quota-tally/update-quota-tally/insert-quota-tally RootLogin off RequireValidShell off # Gestion des logs # ================ # Enregistre les requêtes SQL dans /var/log/proftpd/mysql.log SQLLogFile /var/log/proftpd/mysql.log # Enregistre les authentifications LogFormat auth "%v [%P] %h %t \"%r\" %s" ExtendedLog /var/log/proftpd/auth.log AUTH auth # Enregistre les accès aux fichiers LogFormat write "%h %l %u %t \"%r\" %s %b" ExtendedLog /var/log/proftpd/access.log WRITE,READ write # Recupère le nom à partir de l'ip de la machine de l'utilisateur ( resolution DNS ) IdentLookups on </div>

Maintenant vous pouvez redémarrez le serveur ProFTPd pour appliquer la configuration :

<div class="code">/etc/init.d/proftpd restart</div>

== Utilisation ==

Maintenant que la configuration est faite, nous allons voir comment gérer les utilisateurs à travers la base de données.

Je vous conseille d'utiliser PHPMyAdmin pour ceux qui ne connaissent pas le langage SQL.

=== Gestion des utilisateurs ===

==== Ajout d'un utilisateur ====

Création de l'utilisateur 'test' avec un mot de passe 'pwd'. Cet utilisateur a accès au repertoire '/home/ftp/test' avec les droits de l'utilisateur (UID) 5500, et de groupe (GID) 5500, sans shell ('/bin/false').

La valeur 'LoginAllowed' est mise à 'true' pour autoriser la connection de cet utilisateur, à 'false' pour l'interdire.

<div class="code"><nowiki>INSERT INTO `ftpuser` ( `id`, `userid`, `passwd`, `uid`, `gid`, `homedir`, `shell`, `count`, `accessed` , `modified`, `LoginAllowed` ) VALUES ('', 'test', ENCRYPT('pwd'), '5500', '5500', '/home/ftp/test', '/bin/false', '', '', '', 'true' ); </nowiki></div>

'count' représente le nombre d'authentifications effectués par cet utilisateur, 'accessed' la date du dernier accès et 'modified' la date de la dernière écriture.

==== Suppression d'un utilisateur ====

Suppression de l'utilisateur 'test'

<div class="code">DELETE FROM `ftpuser` WHERE `userid`='test'; DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des groupes ===

==== Affecter un utilisateur à un groupe ====

Affecte l'utilisateur 'test' au groupe 'group_test' avec les droits de groupe (GID) du groupe 5500

<div class="code">INSERT INTO `ftpgroup` ( `groupname` , `gid` , `members` ) VALUES ('group_test', '5500', 'test');</div>

==== Enlever un utilisateur d'un groupe ====

Enlève l'utilisateur 'test' du groupe 'group_test'

<div class="code">DELETE FROM `ftpgroup` WHERE `members`='test';</div>

=== Gestion des quotas ===

La table 'ftpquotalimits' contient la description des quotas. La table 'ftpquotatotal' contient les statistiques d'utilisation correspondant aux règles des quotas défini dans la table 'ftpquotalimits'. Cette table permet à ProFTPd de gérer les quotas.

==== Ajouter une règles de quotas ====

Exécuter la requête suivante :

<div class="code">INSERT INTO `ftpquotalimits` ( `name`, `quota_type`, `par_session`, `limit_type`, `bytes_up_limit`, `bytes_down_limit`, `bytes_transfer_limit`, `files_up_limit`, `files_down_limit`, `files_transfer_limit` ) VALUES ( 'NOM' , 'TYPE', 'SESSION', 'LIMIT_TYPE', 'B_UP', 'B_DOWN', 'B_TRANS', 'F_UP', 'F_DOWN', 'F_TRANS');</div>

où

* NOM : nom de l'utilisateur, du groupe ou de la règle selon la valeur de TYPE.
* TYPE : 'user' si le quota s'applique à un utilisateur, 'group' à un groupe, 'class' à une classe (ici inutile), 'all' à tous les utilisateurs.
* SESSION : 'true' si les quotas doivent être remis à zéro à chaque nouvelle session, 'false' sinon. ('false' est conseillé).
* LIMIT_TYPE : 'soft' pour une mesure logicielle de la taille, 'hard' pour une mesure hardware.
* B_UP : taille (en Mbytes) autorisé à être uploadé sur le serveur.
* B_DOWN : taille (en Mbytes) autorisé à être downloadé à partir du serveur.
* B_TRANS : taille (en Mbytes) autorisé à transféré à sur et à partir du serveur (upload+download).
* F_UP : nombre de fichiers autorisé à être uploadé sur le serveur.
* F_DOWN : nombre de fichiers autorisé à être downloadé à partir du serveur.
* F_TRANS : nombre de fichiers autorisé à transféré à sur et à partir du serveur (upload+download).

<div class="note">Pour définir un quota ilimité à un des champs, mettez une valeur négative ou nulle.</div>

<div class="alert">Attention : Les quotas de type 'all', 'class' ou 'group' ne définissent pas un quota pour chaque utilisateur mais un quota partagé par tous les utlisateurs concernés par cette règle.</div>

==== Réinitialiser les quotas ====

Il suffit de supprimer l'entrée (ligne) correspondant à la règle devant être réinitialisé. Par exemple :

<div class="code">DELETE FROM `ftpquotatotal` WHERE `name`='test' AND `quota_type`='user';</div>

Si vous voulez réinitialiser tous les quotas, par exemple tous les mois, faîtes une tâc;he cron se connectant sur le serveur et executant la requête suivante :

<div class="code">TRUNCATE TABLE `ftpquotatotal`;</div>

Et voilà, c'est terminé... Vous n'avez plus qu'à tester ;-)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par space2d le 24/04/2005.</div>

= Copyright =
Copyright © 24/04/2005, space2d
{{CC-BY-SA}}

Iptables

2005-11-15T13:09:58Z

Madhatter : /* 2.2.1/ Commandes principales */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir rediriger (forward) les paquets IP arrivant sur un interface réseau (connectée par exemple à Internet) vers une autre interface réseau (connectée par exemple au réseau local), il sera nécessaire, dans la plupart des cas, d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT Â°''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont évaluées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle s'applique à un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une passerelle (gateway) transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la passerelle elle-même par un port alloué dynamiquement ; lorsque la passerelle recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; Â° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; Â° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; Â° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut l'utiliser de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au noyau la politique par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt>Â Â ____Â Â Â Â Â Â Â Â Â Â Â Â Â '''eth1''' '''.->''' ---+------+------+--- Â _/Â Â Â \_Â Â Â Â Â Â ____ 3128'''/'''Â Â Â Â [PC1]Â [PC2]Â [PC3]Â (Â Â Â Â Â Â Â ) '''eth2'''|Â Â Â |'''<--''''Â Â réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_Â Â Â Â Â _) ppp0|'''wall'''| Â \____/Â Â Â Â Â Â |____|'''<--.'''Â Â DMZ serveurs 198.168.1.0 Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â '''eth0\'''Â Â Â Â [WEB]Â [NEWS] [FTP] Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â Â ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : Â

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt>Â echo -n "Application des règles IpTables: "</tt> <tt>Â /etc/firewall.sh</tt> <tt>Â RETVAL=0</tt> <tt>Â [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt>Â echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt>Â echo -n "Flush des règles IpTables: "</tt> <tt>Â /etc/flush_iptables.sh</tt> <tt>Â RETVAL=0</tt> <tt>Â [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt>Â echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt>Â start)</tt> <tt>Â Â Â start</tt> <tt>Â Â Â ;;</tt> <tt>Â stop)</tt> <tt>Â Â Â stop</tt> <tt>Â Â Â ;;</tt> <tt>Â restart)</tt> <tt>Â Â Â stop</tt> <tt>Â Â Â start</tt> <tt>Â Â Â ;;</tt> <tt>Â status)</tt> <tt>Â Â Â /sbin/iptables -L</tt> <tt>Â Â Â /sbin/iptables -t nat -L</tt> <tt>Â Â Â RETVAL=0</tt> <tt>Â Â Â ;;</tt> <tt>Â *)</tt> <tt>Â Â Â echo "Usage: firewall {start|stop|restart|status}"</tt> <tt>Â Â Â RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki>#Â </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Iptables

2005-11-15T13:03:46Z

Madhatter : /* 2.1/ Les tables */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir rediriger (forward) les paquets IP arrivant sur un interface réseau (connectée par exemple à Internet) vers une autre interface réseau (connectée par exemple au réseau local), il sera nécessaire, dans la plupart des cas, d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT °''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont évaluées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle s'applique à un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une passerelle (gateway) transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la passerelle elle-même par un port alloué dynamiquement ; lorsque la passerelle recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; ° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; ° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; ° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet contrairement à <tt>--delete</tt> de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au kernel la target par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt> ____ '''eth1''' '''.->''' ---+------+------+--- _/ \_ ____ 3128'''/''' [PC1] [PC2] [PC3] ( ) '''eth2'''| |'''<--'''' réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_ _) ppp0|'''wall'''| \____/ |____|'''<--.''' DMZ serveurs 198.168.1.0 '''eth0\''' [WEB] [NEWS] [FTP] ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt> echo -n "Application des règles IpTables: "</tt> <tt> /etc/firewall.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt> echo -n "Flush des règles IpTables: "</tt> <tt> /etc/flush_iptables.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt> start)</tt> <tt> start</tt> <tt> ;;</tt> <tt> stop)</tt> <tt> stop</tt> <tt> ;;</tt> <tt> restart)</tt> <tt> stop</tt> <tt> start</tt> <tt> ;;</tt> <tt> status)</tt> <tt> /sbin/iptables -L</tt> <tt> /sbin/iptables -t nat -L</tt> <tt> RETVAL=0</tt> <tt> ;;</tt> <tt> *)</tt> <tt> echo "Usage: firewall {start|stop|restart|status}"</tt> <tt> RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki># </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Iptables

2005-11-15T13:01:39Z

Madhatter : /* 2.1/ Les tables */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir rediriger (forward) les paquets IP arrivant sur un interface réseau (connectée par exemple à Internet) vers une autre interface réseau (connectée par exemple au réseau local), il sera nécessaire, dans la plupart des cas, d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT °''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont évaluées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle s'applique à un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une gateway transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la gateway elle-même par un port alloué dynamiquement ; lorsque la gateway recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; ° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; ° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; ° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet contrairement à <tt>--delete</tt> de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au kernel la target par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt> ____ '''eth1''' '''.->''' ---+------+------+--- _/ \_ ____ 3128'''/''' [PC1] [PC2] [PC3] ( ) '''eth2'''| |'''<--'''' réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_ _) ppp0|'''wall'''| \____/ |____|'''<--.''' DMZ serveurs 198.168.1.0 '''eth0\''' [WEB] [NEWS] [FTP] ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt> echo -n "Application des règles IpTables: "</tt> <tt> /etc/firewall.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt> echo -n "Flush des règles IpTables: "</tt> <tt> /etc/flush_iptables.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt> start)</tt> <tt> start</tt> <tt> ;;</tt> <tt> stop)</tt> <tt> stop</tt> <tt> ;;</tt> <tt> restart)</tt> <tt> stop</tt> <tt> start</tt> <tt> ;;</tt> <tt> status)</tt> <tt> /sbin/iptables -L</tt> <tt> /sbin/iptables -t nat -L</tt> <tt> RETVAL=0</tt> <tt> ;;</tt> <tt> *)</tt> <tt> echo "Usage: firewall {start|stop|restart|status}"</tt> <tt> RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki># </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Iptables

2005-11-15T12:59:48Z

Madhatter : /* 2.1/ Les tables */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir rediriger (forward) les paquets IP arrivant sur un interface réseau (connectée par exemple à Internet) vers une autre interface réseau (connectée par exemple au réseau local), il sera nécessaire, dans la plupart des cas, d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT °''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont évaluées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle matche un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une gateway transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la gateway elle-même par un port alloué dynamiquement ; lorsque la gateway recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; ° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; ° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; ° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet contrairement à <tt>--delete</tt> de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au kernel la target par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt> ____ '''eth1''' '''.->''' ---+------+------+--- _/ \_ ____ 3128'''/''' [PC1] [PC2] [PC3] ( ) '''eth2'''| |'''<--'''' réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_ _) ppp0|'''wall'''| \____/ |____|'''<--.''' DMZ serveurs 198.168.1.0 '''eth0\''' [WEB] [NEWS] [FTP] ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt> echo -n "Application des règles IpTables: "</tt> <tt> /etc/firewall.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt> echo -n "Flush des règles IpTables: "</tt> <tt> /etc/flush_iptables.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt> start)</tt> <tt> start</tt> <tt> ;;</tt> <tt> stop)</tt> <tt> stop</tt> <tt> ;;</tt> <tt> restart)</tt> <tt> stop</tt> <tt> start</tt> <tt> ;;</tt> <tt> status)</tt> <tt> /sbin/iptables -L</tt> <tt> /sbin/iptables -t nat -L</tt> <tt> RETVAL=0</tt> <tt> ;;</tt> <tt> *)</tt> <tt> echo "Usage: firewall {start|stop|restart|status}"</tt> <tt> RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki># </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Iptables

2005-11-15T12:57:09Z

Madhatter : /* 1.4/ Chargement des modules */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir rediriger (forward) les paquets IP arrivant sur un interface réseau (connectée par exemple à Internet) vers une autre interface réseau (connectée par exemple au réseau local), il sera nécessaire, dans la plupart des cas, d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT °''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont matchées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle matche un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une gateway transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la gateway elle-même par un port alloué dynamiquement ; lorsque la gateway recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; ° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; ° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; ° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet contrairement à <tt>--delete</tt> de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au kernel la target par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt> ____ '''eth1''' '''.->''' ---+------+------+--- _/ \_ ____ 3128'''/''' [PC1] [PC2] [PC3] ( ) '''eth2'''| |'''<--'''' réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_ _) ppp0|'''wall'''| \____/ |____|'''<--.''' DMZ serveurs 198.168.1.0 '''eth0\''' [WEB] [NEWS] [FTP] ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt> echo -n "Application des règles IpTables: "</tt> <tt> /etc/firewall.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt> echo -n "Flush des règles IpTables: "</tt> <tt> /etc/flush_iptables.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt> start)</tt> <tt> start</tt> <tt> ;;</tt> <tt> stop)</tt> <tt> stop</tt> <tt> ;;</tt> <tt> restart)</tt> <tt> stop</tt> <tt> start</tt> <tt> ;;</tt> <tt> status)</tt> <tt> /sbin/iptables -L</tt> <tt> /sbin/iptables -t nat -L</tt> <tt> RETVAL=0</tt> <tt> ;;</tt> <tt> *)</tt> <tt> echo "Usage: firewall {start|stop|restart|status}"</tt> <tt> RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki># </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Iptables

2005-11-15T12:43:20Z

Madhatter : /* Introduction */

[[Category:Sécurité]]
= IpTables par l'exemple =

<div class="leatitre">IpTables par l'exemple</div><div class="leapar">Arnaud de Bermingham</div><div class="leadesc">IpTables par l'exemple</div>
----

''Contact : [mailto:duracell chez apinc point org duracell chez apinc point org]'' ''révision par Jice <[mailto:jice chez lea-linux point org jice chez lea-linux point org]>'' ''révision par Fred <[mailto:fred chez lea-linux point org fred chez lea-linux point org]>''

== Introduction ==

Cet article présente de façon pratique la mise en place d'un firewall / proxy sur une machine Linux tournant avec un noyau 2.4. Pour des informations plus théoriques sur les firewall/proxies, vous pouvez lire [http://lea-linux.org/cached/index/Reseau-secu-firewall.html# l'article firewall].

=== <nowiki>* Présentation d'IpTables</nowiki> ===

IpTables est une solution complète de firewall (noyau 2.4) remplaçant ''ipchains'' (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet de faire du firewalling ''stateful'' (à états), de la translation de port et d'adresse, du filtrage au niveau 2 et beaucoup d'autres choses que nous n'allons pas aborder comme le "Mangle" ou modification des paquets à la volée (atchoum).

IpTables est fiable et dispose de très nombreuses options qui permettent de faire du filtrage très fin.

=== <nowiki>* Licence de cet article</nowiki> ===

Cette documentation est sous licence LDP

=== <nowiki>* Licence de NetFilter</nowiki> ===

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

== 1/ Installation ==

=== 1.1/ Prérequis ===

IpTables est installé en standard sur de nombreuses distributions Linux récentes. En particulier, il est installé sur Linux RedHat 7.1 et sur la plupart des distributions basées sur un kernel 2.4.x.

IpTables a besoin d'un '''kernel de génération 2.4''' compilé avec des options spéciales. Ceci ne pose pas de problèmes avec les noyaux 2.4 génériques des principales distributions basées sur cette génération de kernel.

=== 1.2/ Options de compilation du kernel ===

Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.

Les options suivantes doivent êtres activées en module (<tt>M</tt>) ou dans le kernel (<tt>Y</tt>) :

<tt>CONFIG_PACKET</tt> <tt>CONFIG_NETFILTER</tt>

<tt>CONFIG_IP_NF_CONNTRACK</tt> <tt>CONFIG_IP_NF_FTP</tt> <tt>CONFIG_IP_NF_IRC</tt> <tt>CONFIG_IP_NF_IPTABLES</tt> <tt>CONFIG_IP_NF_FILTER</tt> <tt>CONFIG_IP_NF_NAT</tt> <tt>CONFIG_IP_NF_MATCH_STATE</tt> <tt>CONFIG_IP_NF_TARGET_LOG</tt> <tt>CONFIG_IP_NF_MATCH_LIMIT</tt> <tt>CONFIG_IP_NF_TARGET_MASQUERADE</tt>

et éventuellement :

<tt>CONFIG_IP_NF_COMPAT_IPCHAINS</tt> pour garder la compatibilité avec ipchains. <tt>CONFIG_IP_NF_COMPAT_IPFWADM</tt> pour garder la compatibilité avec ipfwadm. <tt>CONFIG_IP_NF_TARGET_REDIRECT</tt> indispensable, pour les proxies transparents par exemple. <tt>CONFIG_IP_NF_MATCH_MAC</tt> permet de matcher avec les adresses MAC.

Ne pas oublier le support réseau et TCP/IP et compiler le kernel comme d'habitude : <tt>make dep && make clean && make bzImage && make modules && make modules_install</tt>

=== 1.3/ Installation ===

Sur une RedHat 7.1, récupérer le package <tt>netfilter</tt> et l'installer comme d'habitude avec <tt>rpm -Uvh netfilter-x.y.z.rpm</tt>. Sur les versions inférieures a la 7.1, il faut compiler un kernel 2.4 car iptables ne supporte pas les kernels 2.2.x. La compilation de iptables est complexe. Le mieux est de lire le fichier INSTALL du package des sources.

=== 1.4/ Chargement des modules ===

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces modules avant de pouvoir utiliser iptables :

<tt><nowiki># modprobe ip_tables</nowiki></tt>

selon les besoins, on peut éventuellement charger les modules suivants :

<blockquote><tt><nowiki># modprobe ip_nat_ftp</nowiki></tt> <tt><nowiki># modprobe ip_nat_irc</nowiki></tt> <tt><nowiki># modprobe iptable_filter</nowiki></tt> <tt><nowiki># modprobe iptable_mangle</nowiki></tt> <tt><nowiki># modprobe iptable_nat</nowiki></tt></blockquote>

Si on a besoin de pouvoir forwarder<nowiki>*</nowiki> les paquets IP (dans la plupart des cas), il sera nécessaire d'exécuter cette commande :

<blockquote><tt><nowiki># echo 1 > /proc/sys/net/ipv4/ip_forward</nowiki></tt></blockquote>

afin de l'indiquer au noyau.

; <nowiki>* </nowiki>forwarder
: il s'agit de faire passer des paquets IP d'une interface réseau vers une autre. Par exemple, un paquet qui arrive de l'internet via un modem ou une carte réseau sera ''redirigé'' (ou ''forwardé'') vers la carte réseau par laquelle le firewall est attaché au réseau local.

'''Nota Bene :''' tous les modprobe semblent inutiles car le kernel les chargent automatiquement si l'on se sert de l'une des fonctionnalités d'iptables.

== 2/ Présentation ==

=== 2.1/ Les tables ===

* '''Table NAT''' (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. Il a 2 types de chaînes<nowiki>#</nowiki> : ''PREROUTING'' qui permet de spécifier "à l'arrivée du firewall" et la chaîne ''POSTROUTING'' qui permet de spécifier "à la sortie du firewall". Il existe 3 targets (ou cibles) : ''DNAT<nowiki>*</nowiki>, SNAT<nowiki>*</nowiki>'' et ''MASQUERADE<nowiki>*</nowiki>''.
* '''Table FILTER''' : C'est la table par défaut lorsque l'on en spécifie pas. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : ''FORWARD'' pour les paquets passant par le firewall, ''INPUT'' pour les paquets entrant et ''OUTPUT'' pour les paquets sortants. Les cibles disponibles sont : ''ACCEPT, DENY, DROP, REJECT °''.
* '''Table Mangle''' : C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite dans cet article.

A noter : Les règles sont matchées dans l'ordre, par défaut la table ''FILTER'' est vide et donc accepte tout. Aucune règle de translation d'adresse n'est présente par défaut.

; <nowiki>#</nowiki> chaîne
: une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle matche un paquet, elle est déclenchée, et la suite de la chaîne est ignorée.
; * SNAT
: permet de modifier l'adresse source du paquet.
; * DNAT
: permet de modifier l'adresse destination du paquet.
; * MASQUERADE
: Une gateway transforme les paquets sortants passant par elle pour donner l'illusion qu'ils sortent de la gateway elle-même par un port alloué dynamiquement ; lorsque la gateway recoit une réponse sur ce port, elle utilise une table de correspondance entre le port et les machines du réseau privé qu'elle gère pour lui faire suivre le paquet.
; ° policy ACCEPT
: permet d'accepter un paquet grâce à la règle vérifiée.
; ° policy DROP
: Rejet d'un paquet sans message d'erreur si la règle est vérifiée ("non ! j'en veux pas mais je dis rien à l'expediteur").
; ° policy REJECT
: Rejet avec un retour de paquet d'erreur à l'expediteur si la la règle est verifiée ("un paquet recommandé de La Poste refusé par son destinataire").

=== 2.2/ Les commandes ===

IpTables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts (à rajouter dans <tt>/etc/rc.d/init.d</tt>) qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux.

==== 2.2.1/ Commandes principales ====

<tt>-A --append</tt> : Ajoute la règle à la fin de la chaîne spécifiée ''Exemple :'' <tt><nowiki># iptables -A INPUT ...</nowiki></tt>

<tt>-D --delete</tt> : Permet de supprimer une chaîne. On peut la matcher de 2 manières, soit en spécifiant le numéros de la chaîne a supprimer, soit en spécifiant la règle à retirer. ''Exemples :'' <tt><nowiki># iptables -D INPUT --dport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -D INPUT 1</nowiki></tt>

<tt>-R --replace</tt> : Permet contrairement à <tt>--delete</tt> de remplacer la chaîne spécifiée. ''Exemple :'' <tt><nowiki># iptables -R INPUT 1 -s 192.168.0.1 -j DROP</nowiki></tt>

<tt>-I --insert</tt> : Permet d'ajouter une chaîne dans un endroit spécifié de la chaîne. ''Exemple :'' <tt><nowiki># iptables -I INPUT 1 --dport 80 -j ACCEPT</nowiki></tt>

<tt>-L --list</tt> : Permet d'afficher les règles. ''Exemples :'' ''<tt><nowiki># iptables -L </nowiki></tt><nowiki># Affiche toutes les règles des chaînes de FILTER</nowiki>'' ''<tt><nowiki># iptables -L INPUT </nowiki></tt><nowiki># Affiche toutes les règles de INPUT (FILTER)</nowiki>''

<tt>-F --flush</tt> : Permet de vider toutes les règles d'une chaîne. ''Exemple :'' <tt><nowiki># iptables -F INPUT</nowiki></tt>

<tt>-N --new-chain</tt> : Permet de créer une nouvelle chaîne. ''Exemple :'' <tt><nowiki># iptables -N LOG_DROP</nowiki></tt>

<tt>-X --delete-chain</tt> : Permet d'effacer une chaîne. ''Exemple :'' <tt><nowiki># iptables -X LOG_DROP</nowiki></tt>

<tt>-P --policy</tt> : Permet de spécifier au kernel la target par défaut d'une chaîne DENY, ACCEPT, REJECT, DROP ... ''Exemple :'' <tt><nowiki># iptables -P INPUT DROP</nowiki></tt>

==== 2.2.2/ Commandes pour matcher ====

Remarques :

Le "!" peut être utilisé pour certaines commandes afin de spécifier le contraire (on peut le traduire par "sauf"). Par exemple une commande qui doit refuser tout trafic TCP sauf ce qui provient de l'adresse IP 10.42.42.42 sera traduite par la commande suivante : ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --source ! 10.42.42.42 -j DROP</nowiki></tt>

Les adresses IP peuvent optionnellement être spécifiées avec le masque associé sous la forme [adresse ip]/[masque].

<tt>-p --protocol</tt> : Spécifier un protocole : <tt>tcp</tt>, <tt>udp</tt>, <tt>icmp</tt>, <tt>all</tt> (tous) ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -j DROP</nowiki></tt>

<tt>-s --source</tt> : Spécifier une adresse source à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp -s 192.168.42.42 -j ACCEPT</nowiki></tt>

<tt>-d --destination</tt> : Spécifier une adresse destination ''Exemple :'' <tt><nowiki># iptables -A FORWARD -p tcp -d 10.1.0.1 -j ACCEPT</nowiki></tt>

<tt>-i --in-interface</tt> : Spécifier une interface d'entrée ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -i eth0 -j DROP</nowiki></tt>

<tt>-o --out-interface</tt> : Spécifier une interface de sortie ''Exemple :'' <tt><nowiki># iptables -A OUTPUT -p icmp -o eth0 -j DROP</nowiki></tt>

<tt>-f --fragment</tt> : Paquet fragmenté ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp -f -j DROP</nowiki></tt>

<tt>--sport --source-port</tt> : Spécifier le port source ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports à matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --sport 80 -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --sport 80 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT</nowiki></tt>

<tt>--dport --destination-port</tt> : Spécifier le port destination ou une plage de ports, fonctionne aussi en udp, <tt>-m multiport</tt> permet de spécifier plusieurs ports a matcher. ''Exemples :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p udp --dport 110 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP</nowiki></tt> <tt><nowiki># iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT</nowiki></tt>

<tt>--tcp-flags</tt> : Spécifier un flag tcp à matcher : <tt>SYN ACK FIN RST URG PSH ALL NONE</tt> ''Exemple :'' <tt><nowiki># iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN,ACK -j ACCEPT</nowiki></tt>

<tt>--icmp-type</tt> : Spécifier un type de paquet icmp à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT -p icmp --icmp-type 8 -j DROP</nowiki></tt>

<tt>--mac-source</tt> : Spécifier l'adresse MAC à matcher ''Exemple :'' <tt><nowiki># iptables -A INPUT --mac-source 42.42.AA.42.42.AA -j DROP</nowiki></tt>

<tt>--state</tt> : Permet de spécifier l'état du paquet à matcher parmi les états suivants : <tt> ESTABLISHED </tt><nowiki>: paquet associé à une connexion déjà établie </nowiki> <tt> NEW </tt><nowiki>: paquet demandant une nouvelle connexion </nowiki> <tt> INVALID </tt><nowiki>: paquet associé à une connexion inconnue </nowiki> <tt> RELATED </tt><nowiki>: Nouvelle connexion mais liée, idéal pour les connexions FTP </nowiki> ''Exemples :'' <tt><nowiki># iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</nowiki></tt> <tt><nowiki># iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT</nowiki></tt>

Spécificités NAT :

<tt>--to-destination</tt> : Utilisé en target pour le DNAT, permet de spécifier l'adresse de destination de la translation, on peut également spécifier un port s'il est différent du port source. ''Exemples :'' <tt><nowiki># iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT --to-destination 192.168.1.2:6110</nowiki></tt> <tt><nowiki># iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.1:3128</nowiki></tt>

<tt>--to-source</tt> : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse source de la translation.

Spécificités pour les LOGS :

<tt>--log-level</tt> : Level, niveau de log ''Exemple : Cf. chapitre 3''

<tt>--log-prefix</tt> : Permet de spécifier un préfixe pour les logs. ''Exemple : Cf. chapitre 3'' 

==== 2.2.3/ Quelques exemples : ====

Les exemples qui suivent supposent que vous êtes reliés à internet par modem via l'interface ppp0 (mais en remplaçant ppp0 par eth0 - par exemple, on peut adapter les exemples pour d'autres type de liaisons) et que votre réseau local est 192.168.1.0/24 (classe C).

* Pour fixer les '''politiques par défaut''' (cad: ce qui se passe quand aucune règle ne correspond - ne matche pas), ici, on refuse tout (normal, on fait un firewall, oui ou non ?) : <blockquote><tt> iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP</tt></blockquote>
* Pour '''logguer''' tout ce qu'on jette : <blockquote><tt> iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : ' iptables -A LOG_DROP -j DROP</tt></blockquote> Et ensuite, plutôt que de mettre <tt>-j DROP</tt>, il faut mettre <tt>-j LOG_DROP</tt> et les trois dernières règles doivent être : <blockquote><tt> iptables -A FORWARD -j LOG_DROP iptables -A INPUT -j LOG_DROP iptables -A OUTPUT -j LOG_DROP </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur l'interface <tt>lo</tt> (sinon ce n'est pas la peine d'activer le réseau !) : <blockquote><tt> iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT </tt></blockquote>
* Pour '''accepter''' tout ce qui se passe sur le '''réseau local''' <tt>192.168.1.0</tt> : <blockquote><tt> iptables -A INPUT -s 192.168.1.0/24 -j ACCEPT iptables -A OUTPUT -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT </tt></blockquote>
* Pour accepter les résolutions de nom (ie: le '''dns''') : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT </tt></blockquote>
* Pour accepter le traffic '''web''' (on veut surfer!) : <blockquote><tt> iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j LOG_ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j LOG_ACCEPT</tt></blockquote> La première ligne pour accepter ce qui entre sur notre interface ppp0 sur le port 80 (le port http) si c'est une connexion déjà établie, la seconde pour accepter ce qui sort sur ppp0 sur le port 80 si c'est une nouvelle connexion ou si c'est une connexion déjà établie.
Pour autoriser le '''ssh''', il faut préciser le port 22; pour autoriser l''''irc''', le port 6667 (ou celui que vous utilisez pour vous connecter à votre serveur); pour le '''smtp''' (envoi d'emails), le port 25; pour le '''pop3''' (réception d'emails), le port 110; pour le '''imap''' (réception d'emails), les ports 143 et 220 ('''imap3''') ; pour le '''cvs''', le port 2401 ; pour le '''https''', le port 443. De manière générale, le numéros de port se trouvent dans /etc/services.
* Pour le '''ftp''' c'est un peu plus complexe. D'abord, il faut charger le module : <tt>ip_conntrack_ftp</tt> (c'est lui qui suit - track en anglais - les connexions ftp) et, si vous ''nat''ez (en utilisant le masquerading par exemple) vos connexions ftp vers d'autres postes le module : <tt>ip_nat_ftp</tt> : <blockquote><tt> modprobe ip_conntrack_ftp</tt> # éventuellement : <tt> modprobe ip_nat_ftp</tt> </blockquote> Ensuite, il faut taper les commandes suivantes : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT </tt></blockquote> Cela pour que la connexion puisse s'établir. Ensuite (et c'est la qu'on a besoin de <tt>ip_conntrack_ftp</tt>) : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT </tt></blockquote> Pour que serveur puisse établir la connexion pour les données (en mode actif). Et enfin : <blockquote><tt> iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT </tt></blockquote> Pour que le serveur puisse établir la connexion pour les données (en mode passif). Ici aussi <tt>ip_conntrack_ftp</tt> est nécessaire.
* Pour '''partager une connexion''', il faut que le forwarding soit activé dans le noyau (<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>), puis il faut autoriser iptable à faire le forwarding : <blockquote><tt> iptables -F FORWARD iptables -A FORWARD -j ACCEPT </tt></blockquote> et enfin, cacher les machines forward-ées par le firewall : <blockquote><tt> iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE </tt></blockquote> Sur chaque machine devant être cachée par le firewall (ou devant partager la connexion avec la machine qui est connectée à internet), il faut ajouter une route par defaut : <blockquote><tt> route add default gw 192.168.1.1 </tt></blockquote> Si la machine connectée à internet a comme ip : 192.168.1.1. Il suffit avec une redhat/mandrake d'éditer : <blockquote><tt>/etc/sysconfig/network</tt></blockquote> et d'ajouter dedans : <blockquote><tt>GATEWAY=192.168.1.1</tt></blockquote> puis de redémarer le réseau :<blockquote><tt>/etc/rc.d/init.d/network restart</tt></blockquote>

== 3/ Application par l'exemple ==

Nous allons mettre en place un firewall / proxy.

Pour cet exemple, le firewall aura la connexion à Internet (interface eth2) et disposera de 2 pattes sur des réseaux privés (eth0 et eth1) :

* il fait office de proxy sur le port 3128 pour un réseau qui aura ainsi un accès internet
* et une DMZ<nowiki>*</nowiki> ("zone démilitarisée") sur laquelle il y a un ensemble de serveurs disponibles de l'extérieur dont un serveur web qui a pour adresse 192.168.1.2 écoutant sur le port 80 en TCP.

<blockquote><tt> ____ '''eth1''' '''.->''' ---+------+------+--- _/ \_ ____ 3128'''/''' [PC1] [PC2] [PC3] ( ) '''eth2'''| |'''<--'''' réseau local 198.168.2.0 (INTERNET)'''<--->'''|'''Fire'''| (_ _) ppp0|'''wall'''| \____/ |____|'''<--.''' DMZ serveurs 198.168.1.0 '''eth0\''' [WEB] [NEWS] [FTP] ''''->''' ---+------+------+--- ''ASCIIArt (c) Jice''</tt></blockquote>

La classe d'adresse IP 192.168.2.0 correspond au réseau interne sur l'interface <tt>eth1</tt>. La classe d'adresse IP 192.168.1.0 correspond a la DMZ sur l'interface <tt>eth0</tt>. L'interface de la connexion Internet est ppp0 sur l'interface <tt>eth2</tt>.

; <nowiki>* </nowiki>DMZ, ou zone démilitarisée
: Sous-réseau dans lequel des serveurs accessibles depuis internet sont en adressage privé (classe d'adresse IP réservée comme 192.168.x.x) derrière un firewall.

=== 3.1/ Le script init.d ===

Nous allons écrire un script qui permettra de charger automatiquement au démarrage de la machine ou sur demande les règles du firewall qui seront stockées dans le fichier <tt>/etc/firewall.sh</tt>. Le script de démarrage sera nommé <tt>/etc/init.d/firewall</tt>. Bien sûr, on n'oubliera pas d'exécuter un <tt>chmod +x</tt> sur les 2 scripts que nous allons créer au long de ce chapitre.

Go ! Fichier de chargement <tt>/etc/init.d/firewall</tt> : 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/bash</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt><nowiki># Lancement du script de Firewall</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt>

<tt>. /etc/init.d/functions</tt>

<tt>RETVAL=0</tt>

<tt><nowiki># Fonction pour le lancement du firewall</nowiki></tt> <tt>start() {</tt> <tt> echo -n "Application des règles IpTables: "</tt> <tt> /etc/firewall.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && touch /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt><nowiki># Fonction pour arrêter le firewall (on flush)</nowiki></tt> <tt>stop() {</tt> <tt> echo -n "Flush des règles IpTables: "</tt> <tt> /etc/flush_iptables.sh</tt> <tt> RETVAL=0</tt> <tt> [ $RETVAL -eq 0 ] && rm -f /var/lock/subsys/firewall</tt> <tt> echo</tt> <tt>}</tt>

<tt>case $1 in</tt> <tt> start)</tt> <tt> start</tt> <tt> ;;</tt> <tt> stop)</tt> <tt> stop</tt> <tt> ;;</tt> <tt> restart)</tt> <tt> stop</tt> <tt> start</tt> <tt> ;;</tt> <tt> status)</tt> <tt> /sbin/iptables -L</tt> <tt> /sbin/iptables -t nat -L</tt> <tt> RETVAL=0</tt> <tt> ;;</tt> <tt> *)</tt> <tt> echo "Usage: firewall {start|stop|restart|status}"</tt> <tt> RETVAL=1</tt> <tt>esac</tt>

<tt>exit</tt>
|}

</center>

C'est tout simple non ?

=== 3.2/ Le script pour flusher (vider) les règles ===

Et maintenant : <tt>/etc/flush_iptables.sh</tt>.

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt> <tt><nowiki># </nowiki></tt> <tt><nowiki># Script pour vider les règles iptables</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet la police par défaut à ACCEPT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -P INPUT ACCEPT</tt> <tt>iptables -P FORWARD ACCEPT</tt> <tt>iptables -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On remet les polices par défaut pour la table NAT</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -t nat -P PREROUTING ACCEPT</tt> <tt>iptables -t nat -P POSTROUTING ACCEPT</tt> <tt>iptables -t nat -P OUTPUT ACCEPT</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># On vide (flush) toutes les règles existantes</nowiki></tt> <tt><nowiki>#</nowiki></tt> <tt>iptables -F</tt> <tt>iptables -t nat -F</tt>

<tt><nowiki>#</nowiki></tt> <tt><nowiki># Et enfin, on efface toutes les chaînes qui ne</nowiki></tt> <tt><nowiki># sont pas à defaut dans la table filter et nat</nowiki></tt>

<tt>iptables -X</tt> <tt>iptables -t nat -X</tt>

<tt><nowiki># Message de fin</nowiki></tt> <tt>echo " [termine]"</tt>
|}

</center>

Bon, on va enfin commencer les choses sérieuses : le script du firewall :)

=== 3.3/ Les prérequis pour le script du firewall et création des tables pour les logs ===

Le script sera commenté au fur et à mesure, afin de décrire chaque étape. 

<center>

{| width="90%" bgcolor="#FFFFCC"
|
<tt><nowiki>#!/bin/sh</nowiki></tt>

<tt><nowiki># script </nowiki>'''/etc/firewall.sh'''</tt>

<tt><nowiki># Firewall d'exemple a but pédagogique</nowiki></tt> <tt><nowiki># Arnaud de Bermingham</nowiki></tt> <tt><nowiki># duracell@apinc.org</nowiki></tt>

<tt><nowiki># </nowiki>'''Activation du forwarding'''</tt> <tt><nowiki># C'est pas pour faire joli, on aura des règles</nowiki></tt> <tt><nowiki># de forward et il faut bien que les paquets</nowiki></tt> <tt><nowiki># traversent la machine, donc on met ce fichier à 1</nowiki></tt>

<tt>echo 1 > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># Alors la, on va appliquer quelques astuces</nowiki></tt> <tt><nowiki># pour empêcher les attaques de type </nowiki>''spoofing''</tt> <tt><nowiki># et bloquer les réponses ICMP du firewall,</nowiki></tt> <tt><nowiki># comme ça c'est très propre. Attention, le</nowiki></tt> <tt><nowiki># fait de bloquer le trafic ICMP sur</nowiki></tt> <tt><nowiki># le firewall bloque les pings.</nowiki></tt>

<tt><nowiki># Je veux </nowiki>'''pas de spoofing'''</tt>

<tt>if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]</tt> <tt>then</tt> <tt> for filtre in /proc/sys/net/ipv4/conf/*/rp_filter</tt> <tt> do</tt> <tt> echo 1 > $filtre</tt> <tt> done</tt> <tt>fi</tt>

<tt><nowiki># </nowiki>'''pas de icmp'''</tt>

<tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all</tt> <tt>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts</tt>

<tt><nowiki># On va utiliser iptables. Si on l'a compilé en module</nowiki></tt> <tt><nowiki># dans le kernel, il faut </nowiki>'''charger le module ip_tables'''.</tt>

<tt>modprobe ip_tables</tt>

<tt><nowiki># on va charger quelques </nowiki>'''modules supplémentaires''' pour</tt> <tt><nowiki># gérer la </nowiki>'''translation''' d'adresse, l''''IRC''' et le '''FTP'''</tt> <tt><nowiki># Tu me fait 4 pompes. Chef oui chef !</nowiki></tt>

<tt>modprobe ip_nat_ftp</tt> <tt>modprobe ip_nat_irc</tt> <tt>modprobe iptable_filter</tt> <tt>modprobe iptable_nat</tt>

<tt><nowiki># Pour faire bien, on va </nowiki>'''vider toutes les règles'''</tt> <tt><nowiki># avant d'appliquer les nouvelles règles de firewall</nowiki></tt>

<tt>iptables -F</tt> <tt>iptables -X</tt>

<tt><nowiki># On va rajouter 2 nouvelles </nowiki>'''chaînes'''.</tt> <tt><nowiki># Ceci permettra d'ajouter des nouvelles cibles qui</nowiki></tt> <tt><nowiki># auront la possibilité de loguer ce qui se passe.</nowiki></tt>

<tt><nowiki># La on logue et on refuse le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_DROP</tt> <tt>iptables -A LOG_DROP -j LOG \</tt> <tt> --log-prefix '[IPTABLES DROP] : '</tt> <tt>iptables -A LOG_DROP -j DROP</tt>

<tt><nowiki># ici, on logue et on accepte le paquet,</nowiki></tt> <tt><nowiki># on rajoute un préfixe pour pouvoir</nowiki></tt> <tt><nowiki># s'y retrouver dans les logs</nowiki></tt> <tt>iptables -N LOG_ACCEPT</tt> <tt>iptables -A LOG_ACCEPT -j LOG \</tt> <tt> --log-prefix '[IPTABLES ACCEPT] : '</tt> <tt>iptables -A LOG_ACCEPT -j ACCEPT</tt>

<tt><nowiki># On veut faire un firewall efficace,</nowiki></tt> <tt><nowiki># donc la politique a appliquer est de tout</nowiki></tt> <tt><nowiki># refuser par défaut et rajouter une a une</nowiki></tt> <tt><nowiki># les règles que l'on autorise.</nowiki></tt> <tt><nowiki># Bien sur, on a RTFM un peu et on a vu que</nowiki></tt> <tt><nowiki># l'option -P permet de définir</nowiki></tt> <tt><nowiki># </nowiki>'''la cible par défaut'''</tt>

<tt>iptables -P INPUT DROP</tt> <tt>iptables -P OUTPUT DROP</tt> <tt>iptables -P FORWARD DROP</tt>

<tt><nowiki># Pour éviter les problèmes, on va </nowiki>'''tout accepter sur'''</tt> <tt><nowiki># </nowiki>'''la machine en local''' (interface lo).</tt> <tt><nowiki># Je déconseille de retirer cette règle car</nowiki></tt> <tt><nowiki># ça pose pas mal de problèmes et ça peut</nowiki></tt> <tt><nowiki># faire perdre la main sur la machine</nowiki></tt>

<tt>iptables -A INPUT -i lo -j ACCEPT</tt> <tt>iptables -A OUTPUT -o lo -j ACCEPT</tt>

<tt><nowiki># Bon, la partie initialisation et préparation est</nowiki></tt> <tt><nowiki># terminée, passons aux choses sérieuses</nowiki></tt> <tt><nowiki># Comme on l'a dit dans la présentation de</nowiki></tt> <tt><nowiki># l'architecture réseau, le firewall fait</nowiki></tt> <tt><nowiki># également office de proxy grâce par exemple</nowiki></tt> <tt><nowiki># à un squid installé dessus. On va donc</nowiki></tt> <tt><nowiki># accepter que le </nowiki>'''proxy''' ait une '''connexion'''</tt> <tt><nowiki># </nowiki>'''internet directe'''. Tant qu'à faire, on va</tt> <tt><nowiki># mettre des états pour que ça soit bien sécurisé</nowiki></tt>

<tt>iptables -A OUTPUT -o ppp0 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT</tt> <tt>iptables -A INPUT -i ppp0 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 80 -j ACCEPT</tt>

<tt><nowiki># Maintenant, on va faire en sorte que le</nowiki></tt> <tt><nowiki># </nowiki>'''proxy soit totalement transparent pour le LAN'''</tt> <tt><nowiki># bénéficiant de la connexion internet.</nowiki></tt> <tt><nowiki># L'astuce consiste a rediriger toutes les</nowiki></tt> <tt><nowiki># requêtes ayant un port de destination 80</nowiki></tt> <tt><nowiki># vers le port 3128 du proxy, ici c'est le</nowiki></tt> <tt><nowiki># firewall (qui est sur le firewall et qui</nowiki></tt> <tt><nowiki># a l'adresse IP 192.168.2.1 ).</nowiki></tt> <tt><nowiki># Une règle de NAT suffira largement pour faire ça.</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -i eth1 -p tcp \</tt> <tt> --dport 80 -j DNAT --to-destination 192.168.2.1:3128</tt>

<tt><nowiki># Bon, c'est pas trop compliqué ! Maintenant</nowiki></tt> <tt><nowiki># on sait que l'on a un </nowiki>'''serveur web sur la DMZ'''</tt> <tt><nowiki># (la machine d'adresse IP 192.168.1.2) sur</nowiki></tt> <tt><nowiki># le port 80. On souhaite que toutes les requêtes</nowiki></tt> <tt><nowiki># provenant d'internet arrivant sur l'adresse IP</nowiki></tt> <tt><nowiki># publique du serveur ( ici 42.42.42.42 ) soit</nowiki></tt> <tt><nowiki># redirigées sur le serveur web de la DMZ.</nowiki></tt> <tt><nowiki># Rien de bien compliqué. Dans l'exemple,</nowiki></tt> <tt><nowiki># on peut retirer le :80 de la target</nowiki></tt> <tt><nowiki># --to-destination</nowiki></tt>

<tt>iptables -t nat -A PREROUTING -d 42.42.42.42 \</tt> <tt> -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80</tt>

<tt><nowiki># C'est bien tout ça ! mais le problème c'est</nowiki></tt> <tt><nowiki># que les chaînes de la table FILTER sont toutes</nowiki></tt> <tt><nowiki># à DENY, donc tout ceci ne fait rien du tout.</nowiki></tt> <tt><nowiki># On va donc passer a la </nowiki>'''configuration du'''</tt> <tt><nowiki># </nowiki>'''firewall''' proprement dit.</tt>

<tt><nowiki># On va quand même </nowiki>'''accepter les connexions ssh'''</tt> <tt><nowiki># (port 22) provenant d'une machine (la votre en</nowiki></tt> <tt><nowiki># l'occurrence, on va dire 192.168.2.42) vers le</nowiki></tt> <tt><nowiki># firewall pour pouvoir modifier les règles</nowiki></tt> <tt><nowiki># facilement pour bien surveiller, on vas quand</nowiki></tt> <tt><nowiki># même loguer les connexions provenant de mon IP</nowiki></tt> <tt><nowiki># et à destination du ssh du firewall</nowiki></tt>

<tt>iptables -A INPUT -i eth1 -s 192.168.2.42 -m state \</tt> <tt> --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT</tt> <tt>iptables -A OUTPUT -o eth1 -d 192.168.2.42 -m state \</tt> <tt> --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT</tt>

<tt><nowiki># On veut que le </nowiki>'''LAN''' connecté à l'interface</tt> <tt><nowiki># eth1 ait un accès complet à </nowiki>'''internet'''.</tt> <tt><nowiki># La règle de NAT qui permettait d'avoir</nowiki></tt> <tt><nowiki># un </nowiki>'''proxy transparent''' sera automatiquement</tt> <tt><nowiki># appliqué. L'interface correspondant</nowiki></tt> <tt><nowiki># à la connexion internet est ici ppp0</nowiki></tt>

<tt>iptables -A FORWARD -i eth1 -o ppp0 -j ACCEPT</tt> <tt>iptables -A FORWARD -o eth1 -i ppp0 -j ACCEPT</tt>

<tt><nowiki># Maintenant on donne le droit au </nowiki>'''LAN''' de</tt> <tt><nowiki># </nowiki>'''consulter les pages web du serveur de la DMZ'''</tt>

<tt>iptables -A FORWARD -i eth1 -o eth0 -p tcp \</tt> <tt> --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -i eth0 -o eth1 -p tcp \</tt> <tt> --sport 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il n'y a plus qu'à dire au firewall</nowiki></tt> <tt><nowiki># d'autoriser à transmettre des paquets TCP à</nowiki></tt> <tt><nowiki># destination du port 80 provenant de l'adresse</nowiki></tt> <tt><nowiki># IP publique (i.e. d'</nowiki>'''internet''') '''vers le serveur'''</tt> <tt><nowiki># </nowiki>'''web de la DMZ''' que nous avons naté précédemment.</tt>

<tt>iptables -A FORWARD -i ppp0 -o eth0 -p tcp \</tt> <tt> --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT</tt> <tt>iptables -A FORWARD -o ppp0 -i eth0 -p tcp \</tt> <tt> --source-port 80 -m state --state ESTABLISHED -j ACCEPT</tt>

<tt><nowiki># Maintenant il ne reste plus grand chose à faire !</nowiki></tt>

<tt><nowiki># Il faut permettre à l'ensemble du LAN de dialoguer</nowiki></tt> <tt><nowiki># sur internet avec la même adresse IP sinon, bien</nowiki></tt> <tt><nowiki># évidemment ça ne marchera pas (à moins que vous</nowiki></tt> <tt><nowiki># ayez 30 adresses ip !).</nowiki></tt> <tt><nowiki># Une petite règle de NAT avec un -j MASQUERADE</nowiki></tt> <tt><nowiki># suffira (masquerade = dialoguer avec l'adresse</nowiki></tt> <tt><nowiki># IP publique sur firewall)</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.2.0/24 -j MASQUERADE</tt>

<tt><nowiki># Il faut également que le serveur web de la DMZ</nowiki></tt> <tt><nowiki># soit masqueradé sinon, le serveur</nowiki></tt> <tt><nowiki># dialoguera sur internet avec son IP privée</nowiki></tt>

<tt>iptables -t nat -A POSTROUTING \</tt> <tt> -s 192.168.1.0/24 -j MASQUERADE</tt>

<tt><nowiki># Toutes les règles qui n'ont pas passé les</nowiki></tt> <tt><nowiki># règles du firewall seront refusées et loguées...</nowiki></tt> <tt><nowiki># facile :</nowiki></tt>

<tt>iptables -A FORWARD -j LOG_DROP</tt> <tt>iptables -A INPUT -j LOG_DROP</tt> <tt>iptables -A OUTPUT -j LOG_DROP</tt>

<tt><nowiki># Pour faire zoli</nowiki></tt> <tt>echo " [Termine]"</tt>

<tt><nowiki># c'est enfin fini</nowiki></tt>
|}

</center>

Et voilà ! le firewall de compèt' est prêt et fonctionnel.

Ceci était bien évidemment un exemple, vous pouvez dès à présent préparer votre propre firewall personnalisé ! Vous pouvez l'adapter à vos besoins, votre connexion vers internet (par ADSL par exemple), etc.

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Arnaud de Bermingham le 12/11/2001.</div>

{{Copy|12/11/2001|Arnaud de Bermingham|CC-BY-NC-SA}}

=Autres ressources=
Le [http://lea-linux.org/trucs/index.php3?aff_item=272 partage de connexion] facile.

Tester votre firewall [http://grc.com/default.htm là].

Cliquez sur 'ShieldsUP!', puis sur l'un des boutons : 'Test My Shields !" et "Probe My Ports !". Ça vaut pas un bon <tt>nmap</tt> fait par un ami, mais ça permet de voir ou on en est.

Reseau-secu-firewall

2005-11-15T11:18:31Z

Madhatter : /* Pré-installation d'un Firewall filtrant sous Linux */

[[Category:Sécurité]]
= Firewall =

<div class="leatitre">Firewall</div><div class="leapar">par Serge (légèrement modifié par Jicé)</div><div class="leadesc">Protégez vous derrière un mur de feu.</div>
----

Ce document a été inspiré du [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO], de l'[http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO] et du [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade-HOWTO]. C'est la synthèse de ces trois documents pour permettre la mise en place des techniques de Firewalling. Je vous conseille quand même de lire ces HOWTO pour plus de compréhension. Je suppose que vous savez configurer un réseau IP, au cas où jeter un coup d'oeil sur la rubrique [[Reseau-cxion locale-lan|réseau local]]. Il se peut que des erreurs se soient glissées dans cette présentation, de plus je ne pourrai être tenu responsable d'une mauvaise configuration de votre système. La sécurité est un sujet vaste, toujours en évolution et je ne prétends pas vous fournir ici une solution exempte de tout danger. Ce document est à prendre comme une présentation de ces techniques.

'''''ATTENTION: rubrique non finie, le filtrage plus fin et les techniques de proxy ne sont pas encore décrits.'''''

== Explications ==

<div style="margin-bottom: 0in">Bon qu'est un Firewall ? Si on traduit, cela nous donne « pare-feu » , vous allez me dire « ha bon mon micro me protège du feu ? », bien sûr que non, un Firewall sert en fait à protéger un réseau vis à vis d'un autre ou d'autre réseaux.</div><div style="margin-bottom: 0in">Plusieurs types de Firewall existent et ne travaillent pas de la même façon et n'offrent pas les mêmes sécurités.</div><div style="margin-bottom: 0in">Les Firewall sont de plus en plus utilisés pour protéger les réseaux locaux d'entreprises vis à vis de l'internet. Il s'agit en fait d'une machine qui est reliée vers l'extérieur (Internet) et vers le réseaux local aussi et qui en quelque sorte analyse le trafic réseau qui la traverse pour savoir si oui ou non elle laisse passer ce trafic que ça soit dans un sens ou dans l'autre :</div><blockquote><tt> _ ---- _ ________ +---> PC2</tt> <tt> ( ) | | |</tt> <tt>( INTERNET )<---->|FIREWALL|<---+---> PC3</tt> <tt> (_ _) |________| |</tt> <tt> ---- +---> PC4</tt></blockquote>

== Les différents types de Firewall ==

<div style="margin-bottom: 0in">Le Firewall le plus simple est une machine qui possède une connexion vers l'extérieur et une autre sur le réseau local et qui ne transmet pas le trafic réseau d'un réseau à l'autre. Si une machine du réseau local veut accéder vers l'extérieur, elle ouvre en fait une session sur le Firewall, et travaille directement sur cette machine pour accéder vers l'extérieur. De ce fait aucun trafic réseau de l'extérieur ne peut rentrer sur le réseau local.

Vous avez compris les problèmes que cela engendre :

* on travaille directement sur le Firewall donc chaque utilisateur qui va par exemple « naviguer » sur le web vas lancer un nouveau processus « navigateur »,
* on n'a pas accès directement à sa machine avec ses ressources mais à celle du Firewall, et la protection s'arrête juste a une authentification d'utilisateur.

Ce type de Firewall en fait ne filtre absolument rien et peut donc être sujet à la moindre attaque extérieure. En fait il n'est plus utilisé, on va dire que c'est le « Firewall préhistorique » en quelque sorte. Voyons maintenant les types de Firewall utilisés :</div>

=== Les Firewalls à filtrage de paquets ===

<div style="text-indent: 0.49in; margin-bottom: 0in">Ils travaillent sur les paquets réseaux eux-même. Pour les personnes qui ont des connaissances réseaux, ce type de Firewall travaille sur la couche réseau du modèle OSI. Ils analysent les paquets entrants/sortants suivant leur type, leurs adresses source et destination et les ports. Comme ils travaillent directement sur la couche IP, ils sont très peu gourmands en mémoire.

Avec Linux ce style de filtrage au niveau de la couche IP est intégré directement dans le noyau, il suffit donc d'avoir un 486 avec 8 Mo de mémoire et d'une distribution Linux avec juste un kernel de base et la couche IP pour faire un tel Firewall.

De plus ils sont totalement transparents pour les utilisateurs, pas d'authentification pour aller vers l'extérieur et pas de paramétrages spécifiques sur les machines des utilisateurs. Un désavantage, c'est qu'il n'y a pas d'authentification possible par utilisateur mais par adresse IP. C'est à dire que si l'on veut en interne interdire à certaine personnes d'aller vers l'extérieur ce n'est possible que si l'on connaît l'adresse de la machine de cet utilisateur, on ne peut pas empêcher que la personne aille sur une autre machine et il faut de plus que les machines aient toujours la même adresse, ce qui peut poser problème lorsqu'on on utilise [[DHCP]].

</div>

=== Les Firewalls Proxy ===

<div style="margin-bottom: 0in">Les Proxy serveur sont utilisés pour contrôler et analyser tout trafic avec l'extérieur. Certains proxies utilisent en plus un cache, c'est à dire qu'ils stockent des données en local, ce qui permet de réduire le trafic réseau, en effet si une même donnée est demandée plusieurs fois, au lieu d'aller la chercher au nouveau vers l'extérieur c'est le proxy lui même qui la fournit. Leur fonctionnement dépend de leur type :</div>

==== Proxy d'applications ====

<div style="margin-bottom: 0in">Leur fonctionnement ressemble un peu au fonctionnement du premier Firewall, c'est à dire quand une application d'une machine locale va vers l'extérieur, en fait elle se connecte sur le Proxy et c'est le Proxy lui-même qui va chercher l'information puis la renvoyer vers la machine demandeuse.</div><div style="margin-bottom: 0in">Un exemple : vous voulez récupérer un fichier via FTP sur internet, en fait votre client FTP vas se connecter sur le proxy qui va faire serveur FTP, le Proxy va en même temps ouvrir une session FTP sur le serveur distant, il va récupérer le fichier cible et vous le renvoyer via son serveur FTP. En fait c'est toujours le Proxy qui récupère les données et vous les renvoie.</div><div style="margin-bottom: 0in">Ça à l'avantage d'être très sécurisé pour la machine cliente, ça fait cache la plupart du temps donc ça réduit le trafic réseau, ça peut permettre l'authentification aussi si l'on oblige une authentification sur les applications du Proxy. Par contre ça demande des configurations spéciales sur les clients, ça demande aussi d'installer sur le proxy les applications serveur de chaque protocole que l'on souhaite fournir aux utilisateurs et ça consomme énormément de ressources.</div>

==== Proxy « SOCKS » ====

<div style="margin-bottom: 0in">Il ne travaille pas sur les applications, en fait il « refait » en quelque sorte les connexions. Le client passe par le Proxy qui lui en interne refait la connexion vers l'extérieur. Comme les Firewalls filtrants, ils ne font pas d'authentification, mais peuvent quand même enregistrer l'utilisateur qui a demandé la connexion.</div>

== Pré-installation d'un Firewall filtrant sous Linux ==

<div style="margin-bottom: 0in">On va dans cette partie configurer le kernel pour préparer notre système à devenir un Firewall filtrant.</div><div style="margin-bottom: 0in">Comme je l'ai dit plus haut, les Firewall filtrants sont facilement configurables sous Linux car ils sont pris en charge directement dans le noyau de Linux. Ce type de Firewall étant très léger, il vous suffit d'un 486 avec 16 voire 8 Mo de RAM. Vous avez besoin aussi suivant la version du kernel :</div>

* Version 1.x.x : une copie de <tt>ipfwadm</tt> (mais bon je vous conseille vivement de passer a une version supérieure de kernel).
* Version 2.0.x : <tt>ipwadm</tt> est sûrement déjà présent, vérifiez quand même.
* Version 2.2.x : <tt>ipchains</tt> (sûrement présent aussi).
* ''Version 2.3.x et 2.4 à venir : le format de firewall a encore changé, il n'est pas encore décrit dans ce document.''

<div style="margin-bottom: 0in">Pour ce document je décris la manière de mettre en place tout ça pour un kernel de version 2.2.X car à mon goût le Firewall est beaucoup plus sûr avec ce kernel (stack IP plus sûre et <tt>ipchains</tt> bien plus puissant que <tt>ipwadm</tt>), de plus il est facile de trouver une distribution à base de kernel 2.2.X, les 2.0.X deviennent rare.</div><div style="margin-bottom: 0in">Si vous voulez de plus faire un Proxy, récupérez l'un de ces programmes :</div>

* Squid
* TIS Firewall toolkit (FWTK)
* Socks

<div style="margin-bottom: 0in">Une recherche sur freshmeat vous trouvera ça :) Mais bon pour l'instant ce document ne traite que des Firewall filtrant, j'ajouterais une rubrique Proxy plus tard.</div><div style="margin-bottom: 0in">Bon il faut maintenant configurer le kernel pour activer ce filtrage. Cochez les options suivantes :</div><div style="margin-bottom: 0in"><tt><y> Enable experimental</tt></div><div style="margin-bottom: 0in"> <tt><y> Enable loadable module support</tt></div><div style="margin-bottom: 0in"> <tt><*> Packet socket</tt></div><div style="margin-bottom: 0in"><tt>[ ] Kernel/User netlink socket</tt></div><div style="margin-bottom: 0in"><tt>[y] Network firewalls</tt></div><div style="margin-bottom: 0in"><tt>[ ] Socket Filtering</tt></div><div style="margin-bottom: 0in"><tt><y> Unix domain sockets</tt></div><div style="margin-bottom: 0in"><tt>[y] TCP/IP networking</tt></div>

<tt>[ ] IP: multicasting</tt>

<tt>[y] IP: advanced router</tt>

<tt>[ ] IP: kernel level autoconfiguration</tt>

<tt>[y] IP: firewalling</tt>

<tt>[y] IP: always defragment (required for masquerading)</tt>

<tt>[y] IP: transparent proxy support</tt>

<tt>[M] IP: masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[M] IP: ICMP masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[Y] IP: masquerading special modules support <- Choisir tout les modules en répondant M</tt>

<tt>[y] IP: optimize as router not host</tt>

<tt>< > IP: tunneling</tt>

<tt>< > IP: GRE tunnels over IP</tt>

<tt>[y] IP: aliasing support</tt>

<tt>[y] IP: TCP syncookie support (not enabled per default)</tt>

<tt>--- (it is safe to leave these untouched)</tt>

<tt>< > IP: Reverse ARP</tt>

<tt>[y] IP: Allow large windows (not recommended if <16Mb of memory)</tt>

<tt>< > The IPv6 protocol (EXPERIMENTAL)</tt>

Cochez également toutes les autres options nécessaires ([http://lea-linux.org/cached/index/Kernel-kernel.html# voir la rubrique noyau]).

<div style="margin-bottom: 0in">Bon vous recompilez le noyau (<tt>make dep; make clean; make bzImage</tt>), déplacez votre ancien répertoire de module (<tt>mv /lib/module/votre_version /lib/module/votre_version.old</tt>), puis compilez et instakllez les modules (<tt>make modules; make modules_install</tt>), copiez alors le nouveau kernel (c<tt>p /usr/src/linux/arch/i386/boot/bzImage /boot</tt>) et si vous utilisez LILO, reconfigurez le pour qu'il pointe sur votre nouveau kernel (editez <tt>/etc/lilo.conf</tt>) et relancez lilo (<tt>/sbin/lilo</tt>), sinon reconfigurez votre loader (CHOS, LOADLIN, etc.). Enfin on reboute (<tt>reboot</tt>). Ouf ! :)</div>

; '''Remarque''' :
: Vérifiez la configuration réseau, assurez-vous que l'adresse de réseau de votre LAN est bien une des adresses réservée (192.168.2.0 par exemple, [http://lea-linux.org/cached/index/Reseau-cxion_locale-lan.html# voir la rubrique réseau local] pour ça). Pour la configuration de la carte externe, assurez vous aussi de sa bonne configuration pour accéder au net (testez votre connexion en fait), de même si la connexion se fait par modem. Pour tout ce qui suit je suppose que votre connexion au net se fait via une carte ethernet, en fait si vous utilisez un modem, de toute façon c'est identique. Bon avant de vraiment configurer le firewall on va tout d'abord mettre en place le « masquerading ».

== Mise en place du filtrage, du masquerading, routage LAN<tt><-></tt>NET et règles de base ==

<div style="margin-bottom: 0in">Assurez-vous d'avoir bien la configuration précédente pour votre kernel (validez les lors de la configuration du kernel).</div><div style="margin-bottom: 0in">Compilez le kernel puis les modules. Une fois tout ça réalisé, ajouter dans le fichier <tt>/etc/rc.d/rc.local</tt> (vérifiez le chemin, il peut être différent suivant les distributions) le chargement des modules de masquerade :</div><blockquote><div style="margin-bottom: 0in"><tt>/sbin/depmod -a </tt>''(n'ajoutez cette ligne que si elle n'est pas déjà présente)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp </tt>''(pour ftp)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio </tt>''(pour real audio)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc </tt>''(pour IRC)''</div> </blockquote><div style="margin-bottom: 0in">et tout autre module comme <tt>ip_masq_cuseeme</tt>, <tt>ip_masq_vdolive</tt>, etc. que vous pouvez récupérer sur le net, si vous voulez bien sûr que de tels services soit accessibles par votre réseau local.</div>

 

; '''Remarque'' '''''<nowiki>:</nowiki>
: Je vous rappelle quand même que plus vous ouvrirez de services, plus votre sécurité baissera. En effet certains services « supplémentaires » peuvent contenir des bugs encore inconnus mais exploitables plus tard. Si vous voulez une sécurité accrue n'autorisez que le web ainsi que le FTP, surtout si vous êtes sur un réseau d'entreprise, je ne vois pas pourquoi l'IRC par exemple doit être activé, on n'en a pas besoin pour travailler dans une entreprise :).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Avant de continuer vérifiez bien que votre LAN (réseau local) est bien sur une adresse réservée privé, c'est a dire du type:</div><blockquote><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">'''10.0.0.0 - 10.255.255.255 Classe A'''</div><div style="margin-bottom: 0in">'''172.16.0.0 - 172.31.255.255 Classe B'''</div><div style="margin-bottom: 0in">'''192.168.0.0 - 192.168.255.255 Classe C'''</div> </blockquote><div style="margin-bottom: 0in">Pour plus de simplicité, je considère que votre LAN est sur l'adresse réseau '''192.168.1.0''' et que votre « passerelle » (le firewall Linux) a comme adresse '''192.168.1.1'''</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Configurez aussi les autres machines de votre LAN avec bien sûr une adresse IP valide (de 192.168.1.2 jusqu'à 192.168.1.254), l'adresse de passerelle et de DNS, celle du Firewall (192.168.1.1).</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon maintenant sur le Firewall, on va activer le masquerade avec:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">avec '''x''' qui correspond au masque et '''yyy.yyy.yyy.yyy''' l'adresse réseau de votre LAN (ici 192.168.1.0)</div>

 

{| border="BORDER" cellpadding="2"
|- valign="TOP"
! width="197" | Masque
! width="198" | Valeur de x
! width="197" | Classe
|- valign="TOP"
! width="197" | '''''255.0.0.0'''''
! width="198" | '''''8'''''
! width="197" | '''''A'''''
|- valign="TOP"
| width="197" |
<center>'''''255.255.0.0'''''</center>
| width="198" |
<center>'''''16'''''</center>
| width="197" |
<center>'''''B'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.0'''''</center>
| width="198" |
<center>'''''24'''''</center>
| width="197" |
<center>'''''C'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.255'''''</center>
| width="198" |
<center>'''''32'''''</center>
| width="197" |
<center>'''''Point à point'''''</center>
|}

Si pour vous ce style de notation de masque vous gêne vous pouvez aussi utiliser la notation xxx.xxx.xxx.xxx du masque pour remplacer x.

Pour notre exemple on tape alors:

<tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt>

<div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/24 -j MASQ</tt></div><div style="margin-bottom: 0in">ou</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon on a fait quoi au juste là ?</div>

* La première ligne indique au noyau de ne transmettre AUCUN paquet, donc on bloque TOUT en fait.
* La deuxième ligne elle indique de transmettre les paquets réseaux de notre LAN (192.168.1.0 avec masque 255.255.255.0).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Donc en fait notre Firewall Linux ne laissera passer au travers de lui que les communications LAN<->Extérieur.</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Au lieu de laisser la possibilité à toutes les machines de notre LAN d'avoir accès vers l'extérieur, on aurait pu aussi ne spécifier que certaines machines, par exemple on veut que juste le patron de notre société ainsi que l'administrateur réseau par exemple qui ont des machines avec adresse IP 192.168.1.3 et 192.168.1.10. Pour cela il faut jouer sur le masque, ça nous donne:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.3/32 -j MASQ</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.10/32 -j MASQ</tt></div><div style="margin-bottom: 0in"> Pour rendre ces règles « permanentes » après chaque reboot, ajoutez-les aussi dans un fichier que vous appelez par exemple '''<tt>rc.firewall</tt>''' que vous placez dans <tt>/etc/rc.d</tt>, sinon vous allez devoir les taper à chaque reboot du système. </div><div style="margin-bottom: 0in">On résume alors ce qui peut se trouver dans un tel fichier:</div><div style="margin-bottom: 0in">
----
<tt><nowiki>#!/bin/bash</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Firewall.rc</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Script de démarrage des règles du firewall</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Tchesmeli serge , Version 0.2</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Lea : http://www.lea-linux.org</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo "Démarrage FIREWALL :"</tt></div><div style="margin-bottom: 0in"> <div style="margin-bottom: 0in"><tt>echo "- Activation de l'IP forwarding..."</tt></div><tt>echo "1" > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># D'abord on bloque tout</nowiki></tt>

</div><div style="margin-bottom: 0in"><tt>echo -n "- Arrêt total des transmissions réseau..."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>if [ -x /sbin/ipchains ]; then</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> /sbin/ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "OK"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>else</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Erreur !"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Votre noyau n'est pas configuré pour\</tt> <tt>permettre le filtrage.... veuillez le recompiler."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> exit</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>fi</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> <tt><nowiki># On charge les modules de masquerade</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des modules de masquerade... "</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc</tt></div>

<tt>echo "OK"</tt> <tt><nowiki># Vous pouvez y inclure ou enlever</nowiki></tt> <tt><nowiki># les modules de votre choix</nowiki></tt>

<tt><nowiki># Puis on applique les règles</nowiki></tt>

<div style="margin-bottom: 0in"><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des règles de filtrage... "</tt></div><tt><nowiki># ipchains -P forward DENY</nowiki></tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div>

<tt>echo "OK"</tt> <tt><nowiki># A vous de bien fixer les règles suivant votre réseau</nowiki></tt>

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> </div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>echo "Firewall prêt."</tt> 
----

On peut alors appeler ce script depuis <tt>/etc/rc.d/rc.local</tt> en y ajoutant une ligne :

<blockquote><tt>source rc.firewall</tt></blockquote> Voilà ! Votre firewall est configuré ! A vous de jouer sur les règles afin d'optimiser la sécurité sur votre réseau local...</div><div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Serge Tchesmeli le 05/06/2000.</div>

= Copyright =
Copyright © 05/06/2000, Serge Tchesmeli
{{LDL}}

=Autres ressources=
* [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/mini/IP-Masquerade.html IP-Masq. mini-HOWTO]
* [http://www.fwbuilder.org Firewall builder], un excellent outil pour configurer votre firewall sous Linux.
* La logithèque de Léa, [[Logithèque:Oldrub=21|section Sécurité]].

Reseau-secu-firewall

2005-11-15T11:00:33Z

Madhatter : /* Proxy d'applications */

[[Category:Sécurité]]
= Firewall =

<div class="leatitre">Firewall</div><div class="leapar">par Serge (légèrement modifié par Jicé)</div><div class="leadesc">Protégez vous derrière un mur de feu.</div>
----

Ce document a été inspiré du [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO], de l'[http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO] et du [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade-HOWTO]. C'est la synthèse de ces trois documents pour permettre la mise en place des techniques de Firewalling. Je vous conseille quand même de lire ces HOWTO pour plus de compréhension. Je suppose que vous savez configurer un réseau IP, au cas où jeter un coup d'oeil sur la rubrique [[Reseau-cxion locale-lan|réseau local]]. Il se peut que des erreurs se soient glissées dans cette présentation, de plus je ne pourrai être tenu responsable d'une mauvaise configuration de votre système. La sécurité est un sujet vaste, toujours en évolution et je ne prétends pas vous fournir ici une solution exempte de tout danger. Ce document est à prendre comme une présentation de ces techniques.

'''''ATTENTION: rubrique non finie, le filtrage plus fin et les techniques de proxy ne sont pas encore décrits.'''''

== Explications ==

<div style="margin-bottom: 0in">Bon qu'est un Firewall ? Si on traduit, cela nous donne « pare-feu » , vous allez me dire « ha bon mon micro me protège du feu ? », bien sûr que non, un Firewall sert en fait à protéger un réseau vis à vis d'un autre ou d'autre réseaux.</div><div style="margin-bottom: 0in">Plusieurs types de Firewall existent et ne travaillent pas de la même façon et n'offrent pas les mêmes sécurités.</div><div style="margin-bottom: 0in">Les Firewall sont de plus en plus utilisés pour protéger les réseaux locaux d'entreprises vis à vis de l'internet. Il s'agit en fait d'une machine qui est reliée vers l'extérieur (Internet) et vers le réseaux local aussi et qui en quelque sorte analyse le trafic réseau qui la traverse pour savoir si oui ou non elle laisse passer ce trafic que ça soit dans un sens ou dans l'autre :</div><blockquote><tt> _ ---- _ ________ +---> PC2</tt> <tt> ( ) | | |</tt> <tt>( INTERNET )<---->|FIREWALL|<---+---> PC3</tt> <tt> (_ _) |________| |</tt> <tt> ---- +---> PC4</tt></blockquote>

== Les différents types de Firewall ==

<div style="margin-bottom: 0in">Le Firewall le plus simple est une machine qui possède une connexion vers l'extérieur et une autre sur le réseau local et qui ne transmet pas le trafic réseau d'un réseau à l'autre. Si une machine du réseau local veut accéder vers l'extérieur, elle ouvre en fait une session sur le Firewall, et travaille directement sur cette machine pour accéder vers l'extérieur. De ce fait aucun trafic réseau de l'extérieur ne peut rentrer sur le réseau local.

Vous avez compris les problèmes que cela engendre :

* on travaille directement sur le Firewall donc chaque utilisateur qui va par exemple « naviguer » sur le web vas lancer un nouveau processus « navigateur »,
* on n'a pas accès directement à sa machine avec ses ressources mais à celle du Firewall, et la protection s'arrête juste a une authentification d'utilisateur.

Ce type de Firewall en fait ne filtre absolument rien et peut donc être sujet à la moindre attaque extérieure. En fait il n'est plus utilisé, on va dire que c'est le « Firewall préhistorique » en quelque sorte. Voyons maintenant les types de Firewall utilisés :</div>

=== Les Firewalls à filtrage de paquets ===

<div style="text-indent: 0.49in; margin-bottom: 0in">Ils travaillent sur les paquets réseaux eux-même. Pour les personnes qui ont des connaissances réseaux, ce type de Firewall travaille sur la couche réseau du modèle OSI. Ils analysent les paquets entrants/sortants suivant leur type, leurs adresses source et destination et les ports. Comme ils travaillent directement sur la couche IP, ils sont très peu gourmands en mémoire.

Avec Linux ce style de filtrage au niveau de la couche IP est intégré directement dans le noyau, il suffit donc d'avoir un 486 avec 8 Mo de mémoire et d'une distribution Linux avec juste un kernel de base et la couche IP pour faire un tel Firewall.

De plus ils sont totalement transparents pour les utilisateurs, pas d'authentification pour aller vers l'extérieur et pas de paramétrages spécifiques sur les machines des utilisateurs. Un désavantage, c'est qu'il n'y a pas d'authentification possible par utilisateur mais par adresse IP. C'est à dire que si l'on veut en interne interdire à certaine personnes d'aller vers l'extérieur ce n'est possible que si l'on connaît l'adresse de la machine de cet utilisateur, on ne peut pas empêcher que la personne aille sur une autre machine et il faut de plus que les machines aient toujours la même adresse, ce qui peut poser problème lorsqu'on on utilise [[DHCP]].

</div>

=== Les Firewalls Proxy ===

<div style="margin-bottom: 0in">Les Proxy serveur sont utilisés pour contrôler et analyser tout trafic avec l'extérieur. Certains proxies utilisent en plus un cache, c'est à dire qu'ils stockent des données en local, ce qui permet de réduire le trafic réseau, en effet si une même donnée est demandée plusieurs fois, au lieu d'aller la chercher au nouveau vers l'extérieur c'est le proxy lui même qui la fournit. Leur fonctionnement dépend de leur type :</div>

==== Proxy d'applications ====

<div style="margin-bottom: 0in">Leur fonctionnement ressemble un peu au fonctionnement du premier Firewall, c'est à dire quand une application d'une machine locale va vers l'extérieur, en fait elle se connecte sur le Proxy et c'est le Proxy lui-même qui va chercher l'information puis la renvoyer vers la machine demandeuse.</div><div style="margin-bottom: 0in">Un exemple : vous voulez récupérer un fichier via FTP sur internet, en fait votre client FTP vas se connecter sur le proxy qui va faire serveur FTP, le Proxy va en même temps ouvrir une session FTP sur le serveur distant, il va récupérer le fichier cible et vous le renvoyer via son serveur FTP. En fait c'est toujours le Proxy qui récupère les données et vous les renvoie.</div><div style="margin-bottom: 0in">Ça à l'avantage d'être très sécurisé pour la machine cliente, ça fait cache la plupart du temps donc ça réduit le trafic réseau, ça peut permettre l'authentification aussi si l'on oblige une authentification sur les applications du Proxy. Par contre ça demande des configurations spéciales sur les clients, ça demande aussi d'installer sur le proxy les applications serveur de chaque protocole que l'on souhaite fournir aux utilisateurs et ça consomme énormément de ressources.</div>

==== Proxy « SOCKS » ====

<div style="margin-bottom: 0in">Il ne travaille pas sur les applications, en fait il « refait » en quelque sorte les connexions. Le client passe par le Proxy qui lui en interne refait la connexion vers l'extérieur. Comme les Firewalls filtrants, ils ne font pas d'authentification, mais peuvent quand même enregistrer l'utilisateur qui a demandé la connexion.</div>

== Pré-installation d'un Firewall filtrant sous Linux ==

<div style="margin-bottom: 0in">On va dans cette partie configurer le kernel pour préparer notre système à devenir un Firewall filtrant.</div><div style="margin-bottom: 0in">Comme je l'ai dit plus haut, les Firewall filtrants sont facilement configurables sous Linux car ils sont pris en charge directement dans le noyau de Linux. Ce type de Firewall étant très léger, il vous suffit d'un 486 avec 16 voire 8 Mo de RAM. Vous avez besoin aussi suivant la version du kernel :</div>

* Version 1.x.x : une copie de <tt>ipfwadm</tt> (mais bon je vous conseille vivement de passer a une version supérieure de kernel).
* Version 2.0.x : <tt>ipwadm</tt> est sûrement déjà présent, vérifiez quand même.
* Version 2.2.x : <tt>ipchains</tt> (sûrement présent aussi).
* ''Version 2.3.x et 2.4 à venir : le format de firewall a encore changé, il n'est pas encore décrit dans ce document.''

<div style="margin-bottom: 0in">Pour ce document je décris la manière de mettre en place tout ça pour un kernel de version 2.2.X car à mon goût le Firewall est beaucoup plus sûr avec ce kernel (stack IP plus sûre et <tt>ipchains</tt> bien plus puissant que <tt>ipwadm</tt>), de plus il est facile de trouver une distribution à base de kernel 2.2.X, les 2.0.X deviennent rare.</div><div style="margin-bottom: 0in">Si vous voulez de plus faire un Proxy, récupérez l'un de ces programmes :</div>

* Squid
* TIS Firewall toolkit (FWTK)
* Socks

<div style="margin-bottom: 0in">Une recherche sur freshmeat vous trouvera ça :) Mais bon pour l'instant ce document ne traite que des Firewall filtrant, j'ajouterais une rubrique Proxy plus tard.</div><div style="margin-bottom: 0in">Bon il faut maintenant configurer le kernel pour activer ce filtrage. Cochez les options suivantes :</div><div style="margin-bottom: 0in"><tt><y> Enable experimental</tt></div><div style="margin-bottom: 0in"> <tt><y> Enable loadable module support</tt></div><div style="margin-bottom: 0in"> <tt><*> Packet socket</tt></div><div style="margin-bottom: 0in"><tt>[ ] Kernel/User netlink socket</tt></div><div style="margin-bottom: 0in"><tt>[y] Network firewalls</tt></div><div style="margin-bottom: 0in"><tt>[ ] Socket Filtering</tt></div><div style="margin-bottom: 0in"><tt><y> Unix domain sockets</tt></div><div style="margin-bottom: 0in"><tt>[y] TCP/IP networking</tt></div>

<tt>[ ] IP: multicasting</tt>

<tt>[y] IP: advanced router</tt>

<tt>[ ] IP: kernel level autoconfiguration</tt>

<tt>[y] IP: firewalling</tt>

<tt>[y] IP: always defragment (required for masquerading)</tt>

<tt>[y] IP: transparent proxy support</tt>

<tt>[M] IP: masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[M] IP: ICMP masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[Y] IP: masquerading special modules support <- Choisir tout les modules en répondant M</tt>

<tt>[y] IP: optimize as router not host</tt>

<tt>< > IP: tunneling</tt>

<tt>< > IP: GRE tunnels over IP</tt>

<tt>[y] IP: aliasing support</tt>

<tt>[y] IP: TCP syncookie support (not enabled per default)</tt>

<tt>--- (it is safe to leave these untouched)</tt>

<tt>< > IP: Reverse ARP</tt>

<tt>[y] IP: Allow large windows (not recommended if <16Mb of memory)</tt>

<tt>< > The IPv6 protocol (EXPERIMENTAL)</tt>

Cochez également toutes les autres options nécessaires (voir la [../kernel/kernel.php3 rubrique noyau]).

<div style="margin-bottom: 0in">Bon vous recompilez le noyau (<tt>make dep; make clean; make bzImage</tt>), déplacez votre ancien répertoire de module (<tt>mv /lib/module/votre_version /lib/module/votre_version.old</tt>), puis compilez et instakllez les modules (<tt>make modules; make modules_install</tt>), copiez alors le nouveau kernel (c<tt>p /usr/src/linux/arch/i386/boot/bzImage /boot</tt>) et si vous utilisez LILO, reconfigurez le pour qu'il pointe sur votre nouveau kernel (editez <tt>/etc/lilo.conf</tt>) et relancez lilo (<tt>/sbin/lilo</tt>), sinon reconfigurez votre loader (CHOS, LOADLIN, etc.). Enfin on reboute (<tt>reboot</tt>). Ouf ! :)</div>

; '''Remarque''' :
: Vérifiez la configuration réseau, assurez-vous que l'adresse de réseau de votre LAN est bien une des adresses réservée (192.168.2.0 par exemple, voir la [lan.php3 rubrique réseau local] pour ça). Pour la configuration de la carte externe, assurez vous aussi de sa bonne configuration pour accéder au net (testez votre connexion en fait), de même si la connexion se fait par modem. Pour tout ce qui suit je suppose que votre connexion au net se fait via une carte ethernet, en fait si vous utilisez un modem, de toute façon c'est identique. Bon avant de vraiment configurer le firewall on va tout d'abord mettre en place le « masquerading ».

== Mise en place du filtrage, du masquerading, routage LAN<tt><-></tt>NET et règles de base ==

<div style="margin-bottom: 0in">Assurez-vous d'avoir bien la configuration précédente pour votre kernel (validez les lors de la configuration du kernel).</div><div style="margin-bottom: 0in">Compilez le kernel puis les modules. Une fois tout ça réalisé, ajouter dans le fichier <tt>/etc/rc.d/rc.local</tt> (vérifiez le chemin, il peut être différent suivant les distributions) le chargement des modules de masquerade :</div><blockquote><div style="margin-bottom: 0in"><tt>/sbin/depmod -a </tt>''(n'ajoutez cette ligne que si elle n'est pas déjà présente)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp </tt>''(pour ftp)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio </tt>''(pour real audio)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc </tt>''(pour IRC)''</div> </blockquote><div style="margin-bottom: 0in">et tout autre module comme <tt>ip_masq_cuseeme</tt>, <tt>ip_masq_vdolive</tt>, etc. que vous pouvez récupérer sur le net, si vous voulez bien sûr que de tels services soit accessibles par votre réseau local.</div>

 

; '''Remarque'' '''''<nowiki>:</nowiki>
: Je vous rappelle quand même que plus vous ouvrirez de services, plus votre sécurité baissera. En effet certains services « supplémentaires » peuvent contenir des bugs encore inconnus mais exploitables plus tard. Si vous voulez une sécurité accrue n'autorisez que le web ainsi que le FTP, surtout si vous êtes sur un réseau d'entreprise, je ne vois pas pourquoi l'IRC par exemple doit être activé, on n'en a pas besoin pour travailler dans une entreprise :).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Avant de continuer vérifiez bien que votre LAN (réseau local) est bien sur une adresse réservée privé, c'est a dire du type:</div><blockquote><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">'''10.0.0.0 - 10.255.255.255 Classe A'''</div><div style="margin-bottom: 0in">'''172.16.0.0 - 172.31.255.255 Classe B'''</div><div style="margin-bottom: 0in">'''192.168.0.0 - 192.168.255.255 Classe C'''</div> </blockquote><div style="margin-bottom: 0in">Pour plus de simplicité, je considère que votre LAN est sur l'adresse réseau '''192.168.1.0''' et que votre « passerelle » (le firewall Linux) a comme adresse '''192.168.1.1'''</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Configurez aussi les autres machines de votre LAN avec bien sûr une adresse IP valide (de 192.168.1.2 jusqu'à 192.168.1.254), l'adresse de passerelle et de DNS, celle du Firewall (192.168.1.1).</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon maintenant sur le Firewall, on va activer le masquerade avec:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">avec '''x''' qui correspond au masque et '''yyy.yyy.yyy.yyy''' l'adresse réseau de votre LAN (ici 192.168.1.0)</div>

 

{| border="BORDER" cellpadding="2"
|- valign="TOP"
! width="197" | Masque
! width="198" | Valeur de x
! width="197" | Classe
|- valign="TOP"
! width="197" | '''''255.0.0.0'''''
! width="198" | '''''8'''''
! width="197" | '''''A'''''
|- valign="TOP"
| width="197" |
<center>'''''255.255.0.0'''''</center>
| width="198" |
<center>'''''16'''''</center>
| width="197" |
<center>'''''B'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.0'''''</center>
| width="198" |
<center>'''''24'''''</center>
| width="197" |
<center>'''''C'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.255'''''</center>
| width="198" |
<center>'''''32'''''</center>
| width="197" |
<center>'''''Point à point'''''</center>
|}

Si pour vous ce style de notation de masque vous gêne vous pouvez aussi utiliser la notation xxx.xxx.xxx.xxx du masque pour remplacer x.

Pour notre exemple on tape alors:

<tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt>

<div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/24 -j MASQ</tt></div><div style="margin-bottom: 0in">ou</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon on a fait quoi au juste là ?</div>

* La première ligne indique au noyau de ne transmettre AUCUN paquet, donc on bloque TOUT en fait.
* La deuxième ligne elle indique de transmettre les paquets réseaux de notre LAN (192.168.1.0 avec masque 255.255.255.0).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Donc en fait notre Firewall Linux ne laissera passer au travers de lui que les communications LAN<->Extérieur.</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Au lieu de laisser la possibilité à toutes les machines de notre LAN d'avoir accès vers l'extérieur, on aurait pu aussi ne spécifier que certaines machines, par exemple on veut que juste le patron de notre société ainsi que l'administrateur réseau par exemple qui ont des machines avec adresse IP 192.168.1.3 et 192.168.1.10. Pour cela il faut jouer sur le masque, ça nous donne:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.3/32 -j MASQ</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.10/32 -j MASQ</tt></div><div style="margin-bottom: 0in"> Pour rendre ces règles « permanentes » après chaque reboot, ajoutez-les aussi dans un fichier que vous appelez par exemple '''<tt>rc.firewall</tt>''' que vous placez dans <tt>/etc/rc.d</tt>, sinon vous allez devoir les taper à chaque reboot du système. </div><div style="margin-bottom: 0in">On résume alors ce qui peut se trouver dans un tel fichier:</div><div style="margin-bottom: 0in">
----
<tt><nowiki>#!/bin/bash</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Firewall.rc</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Script de démarrage des règles du firewall</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Tchesmeli serge , Version 0.2</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Lea : http://www.lea-linux.org</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo "Démarrage FIREWALL :"</tt></div><div style="margin-bottom: 0in"> <div style="margin-bottom: 0in"><tt>echo "- Activation de l'IP forwarding..."</tt></div><tt>echo "1" > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># D'abord on bloque tout</nowiki></tt>

</div><div style="margin-bottom: 0in"><tt>echo -n "- Arrêt total des transmissions réseau..."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>if [ -x /sbin/ipchains ]; then</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> /sbin/ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "OK"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>else</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Erreur !"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Votre noyau n'est pas configuré pour\</tt> <tt>permettre le filtrage.... veuillez le recompiler."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> exit</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>fi</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> <tt><nowiki># On charge les modules de masquerade</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des modules de masquerade... "</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc</tt></div>

<tt>echo "OK"</tt> <tt><nowiki># Vous pouvez y inclure ou enlever</nowiki></tt> <tt><nowiki># les modules de votre choix</nowiki></tt>

<tt><nowiki># Puis on applique les règles</nowiki></tt>

<div style="margin-bottom: 0in"><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des règles de filtrage... "</tt></div><tt><nowiki># ipchains -P forward DENY</nowiki></tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div>

<tt>echo "OK"</tt> <tt><nowiki># A vous de bien fixer les règles suivant votre réseau</nowiki></tt>

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> </div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>echo "Firewall prêt."</tt> 
----

On peut alors appeler ce script depuis <tt>/etc/rc.d/rc.local</tt> en y ajoutant une ligne :

<blockquote><tt>source rc.firewall</tt></blockquote> Voilà ! Votre firewall est configuré ! A vous de jouer sur les règles afin d'optimiser la sécurité sur votre réseau local...</div><div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Serge Tchesmeli le 05/06/2000.</div>

= Copyright =
Copyright © 05/06/2000, Serge Tchesmeli
{{LDL}}

=Autres ressources=
* [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/mini/IP-Masquerade.html IP-Masq. mini-HOWTO]
* [http://www.fwbuilder.org Firewall builder], un excellent outil pour configurer votre firewall sous Linux.
* La logithèque de Léa, [[Logithèque:Oldrub=21|section Sécurité]].

Protection d'un serveur Apache PHP MySQL

2005-11-14T11:06:43Z

Madhatter : /* 2 Introduction */

[[Category:Services Web]]
= Protection d'un serveur Apache PHP MySQL =

<div class="leatitre">Protection d'un serveur Apache PHP MySQL</div><div class="leapar">Jean-Marc LICHTLE</div><div class="leadesc">Protection d'un serveur Apache PHP MySQL contre les visites non souhaitées</div>
----

== 1 Objectif de ce document ==

<nowiki>L'objectif est de décrire comment protéger un serveur constitué de la trilogie Apache + PHP + MySQL des ``visites inopportunes''. La description est relative à une installation LINUX, plus spécifiquement la version 8.0 de MANDRAKE.</nowiki>

Exemple de problème de sécurité posé : vous avez installé phpMyAdmin. Il est souhaitable d'interdire qu'un visiteur non autorisé accède à ce script ce qui lui donnerait des droits dangereux sur toutes les bases de données installées.

Il n'entre pas dans les vues de l'auteur de transformer le lecteur en spécialiste de la sécurité informatique. Ce document veut être :

* Un pied à l'étrier pour tout utilisateur qui voudrait étudier la question de la sécurité d'un serveur Web Apache + PHP + MySQL.
* La description du minimum de précautions à mettre en place sur un serveur d'entreprise ne contenant aucune information stratégique mais qui mettrait à la disposition des utilisateurs des informations relativement banalisées. L'objectif de sécurité est relativement sommaire :
** - éviter que des manipulations non souhaitées ne détruisent une partie ou la totalité des informations,
** - limiter les droits d'accès à certaines informations plus sensibles à un nombre limité d'utilisateurs identifiés.

== 2 Introduction ==

Ce texte est la suite naturelle d'un document décrivant l'installation de la trilogie Apache PHP MySQL en environnement LINUX MANDRAKE 8.0 ([http://lea-linux.org/cached/index/Reseau-web-Apache_PHP_MySQL.html# voir l'article]). L'installation décrite dans ce premier document est la plus simple possible, son seul objectif était d'aboutir à un système qui soit fonctionnel. Dans l'installation de MySQL par exemple j'avais précisé de faire l'impasse sur la mise en place d'un mot de passe administrateur afin de ne pas bloquer le fonctionnement ultérieur de phpMyAdmin dans son installation de base. Il est temps maintenant de faire le pas supplémentaire qui verrouillera un peu mieux le site.

<nowiki>Pour plus d'informations on pourra se reporter à l'importante littérature qui existe sur la question, notamment ``Pratique de MySQL et PHP'', édition O'REILLY. </nowiki>

<nowiki>Il importe de comprendre que la protection d'un site Apache + PHP + MySQL prend des facettes multiples, chaque logiciel ayant ses ``protections'' propres. De plus comme nous le verrons bientôt avec phpMyAdmin, ces systèmes de protections dialoguent entre eux. </nowiki>

== 3 Protection du serveur Apache ==

Il s'agit dans un premier temps de protéger le serveur http, c'est à dire le logiciel qui va adresser les pages html au navigateur qui en fait la demande. A ce stade il importe peu que PHP et MySQL soient exploités ou non. Cette protection est très générale et s'applique aussi bien à un serveur simple ne mettant en oeuvre que des pages html pures qu'à un serveur plus évolué faisant appel à un langage de programmation et à un gestionnaire de bases de données (PHP et MySQL ou une autre combinaison). Les exemples qui suivent portent sur la protection d'un sous répertoire <tt>test/</tt> situé au premier niveau de l'arborescence du serveur, plus précisément <tt>/var/www/html/test/</tt>. Attention, toutes les informations de chemins d'accès sont relatives à la distribution Mdk 8.0 !

=== 3.1 Protection par .htaccess ===

Le principe consiste à créer dans le sous répertoire à protéger un fichier nommé <tt>.htaccess</tt> (commençant par un point donc caché) et qui va en limiter les droits d'accès. En fait <tt>.htaccess</tt> va renvoyer vers un fichier contenant les logins et mots de passe des utilisateurs autorisés.

Ce fichier de mots de passe peut porter un nom quelconque. Habituellement ce dernier est rangé dans <tt>/etc/httpd/auth/</tt>, répertoire qu'il convient éventuellement de créer puisqu'il n'existe pas après l'installation de base. Il est assez logique que tous les fichiers d'authentification seront rangés dans le même sous-répertoire. Il est de ce fait judicieux de choisir des noms de fichiers qui soient parlant et qui rappellent l'objet de la protection, par exemple test.users pour le fichier qui définira les droits d'accès des diféfrents utilisateurs au sous répertoire test. L'emploi de <tt>/etc/httpd/auth/</tt> pour ranger les fichiers d'autorisation est une pure question de convention. Ces fichiers pourraient aussi bien être rangés n'importe ou ailleurs. Il va toutefois sans dire (mais mieux en le disant) que ces fichiers doivent être hors de portée des visiteurs, en clair ne doivent pas faire partie de l'arborescence <tt>/var/www/html/</tt>...

==== 3.1.1 Création de .htaccess ====

Exemple simple :

Avec un éditeur quelconque (de préférence emacs =;-) créer le fichier minimum suivant:

<center>

{| width="80%" bgcolor="#FFFFCC"
|
 <tt>AuthUserFile /etc/httpd/auth/test.users</tt>

<tt><nowiki>AuthName ``Accès restreint''</nowiki></tt>

<tt>AuthType Basic</tt>

<tt>require valid-user</tt> 
|}

</center>

Sauvegardez...

<tt>AuthUserFile</tt> définit quel est le fichier chargé de contenir les autorisations. La Mandrake 8.0 suppose par défaut que les fichiers d'autorisation sont rangés dans <tt>/etc/httpd/</tt>. La première partie de l'adresse <tt>AuthUserFile</tt> peut donc être omise éventuellement.

<tt>AuthName</tt><nowiki> précise le message qui sera affiché dans la boite de dialogue, dans ce cas ``Accès restreint à localhost'' si la machine est nommée localhost. Nous verrons plus loin l'intérêt de choisir un message aussi explicite que possible. </nowiki>

==== 3.1.2 Création du fichier des autorisations d'accès ====

La première étape consiste à créer, s'il n'existe pas encore, le sous répertoire <tt>/etc/httpd/auth/</tt> qui contiendra les autorisations (md... sous compte root). Le fichier d'autorisation lui-même se crée (et s'entretient) avec la commande <tt>htpasswd</tt>. Attention: la commande htpasswd peut être lancée aussi bien par un utilisateur de base que par l'administrateur. Toutefois, les fichiers contenus dans <tt>/etc</tt> étant tous la propriété de root je préconise, dans un but de cohérence, de lancer cette commande uniquement sous compte root. De toute façon, sauf à imaginer que <tt>/etc/httpd/auth/</tt> soit propriété d'un utilisateur non root, le lancement de <tt>htpasswd</tt> depuis un login non root conduirait à un échec à l'enregistrement des données.

Syntaxes:

* Pour la création (avec un premier utilisateur lambda): <tt>htpasswd -c /etc/ httpd/auth/ test.users lambda</tt>. htpasswd va alors vous demander le mot de passe de lambda (avec confirmation).
* Pour l'ajout d'un utilisateur supplémentaire: <tt>htpasswd /etc/httpd/auth/test.users lambda2</tt>
* Pour supprimer un utilisateur et ben le plus simple est de supprimer la ligne correspondante dans le fichier d'autorisation !

La consultation de .htaccess se fait à chaque accès du serveur Apache au sous-répertoire concerné. Avantage : la nouvelle configuration entre en action immédiatement sans qu'il soit nécessaire de relancer le serveur Apache pour recharger la nouvelle configuration.

=== 3.2 Protection par modification de httpd.conf ===

Le principe est assez similaire à ce qui a été exposé ci-dessus si ce n'est que le renvoi vers le fichier des autorisations est réalisé dans <tt>/etc/httpd/conf/httpd.conf</tt>.

Pour mettre en place ce renvoi éditez ce fichier et ajoutez (par exemple tout à la fin) les lignes suivantes :

<center>

{| width="80%" bgcolor="#FFFFCC"
|
<tt><Directory /var/www/html/test></tt>

<tt>AuthName "Accès limité"</tt>

<tt>AuthUserFile /etc/httpd/auth/test.users</tt>

<tt>AuthType Basic</tt>

<tt>require valid-user</tt>

<tt></Directory></tt>
|}

</center>

Pour protéger plusieurs répertoires créez plusieurs paragraphes <tt><Directory> </Directory></tt>.

Sauvegardez puis relancez le démon Apache (comme root : <tt>/etc/rc.d/init.d/httpd restart</tt>). En effet dans ce cas vous venez de modifier un des fichiers de configuration du serveur, fichier qui est lu au moment du chargement de Apache. Il convient donc de forcer Apache à relire ce fichier pour prendre en compte les modifications.

=== 3.3 Différence entre les deux méthodes .htaccess et httpd.conf ===

Votre attention aura certainement été attirée par le similitude de rédaction entre les deux solutions. Cette similitude n'est absolument pas fortuite et provient simplement de la logique interne du fonctionnement d'Apache. Le serveur lit au lancement les paramètres de configuration stockés dans httpd.conf. Il ne les relira ensuite qu'en cas de demande explicite (restart).

<nowiki>Par contre, il cherchera à chaque requête d'un navigateur, à lire un éventuel fichier .htaccess contenu dans le sous-répertoire concerné par la demande. S'il le trouve les informations contenues dans ce fichier remplaceront, pour la durée de la requête, celles qui sont contenues dans httpd.conf. En clair vous pouvez ``masquer'' la configuration officielle contenue dans httpd.conf en proposant une nouvelle configuration dans un .htaccess. Faites l'essai en mettant en place une protection double : </nowiki>

* <nowiki> Par httpd.conf en mettant ``Accès contrôlé par httpd.conf'' dans la variable AuthName.</nowiki>
* <nowiki> Par .htaccess en mettant ``Accès contrôlé par htaccess'' dans AuthName.</nowiki>

Vous pourrez vérifier simplement (en renommant .htaccess par exemple) que la protection par .htaccess, lorsqu'elle est en place, remplace bien la protection induite par httpd.conf.

L'intérêt de cette petite démonstration ne semble pas évident. Trois éléments méritent toutefois d'être retenus :

* Une protection par .htaccess nécessite un travail supplémentaire d'analyse de la part du serveur (à prendre en compte pour les serveurs très chargés ou installés sur des machines poussives).
* Certaines directives de httpd.conf peuvent être neutralisées, modifiées...
* Une protection par .htaccess est prise en compte immédiatement sans nécessité d'intervenir sur le serveur.

=== 3.4 Protection de fichiers particuliers dans un sous répertoire ===

La protection par .htaccess décrite ci-dessus s'applique à l'ensemble d'un sous-répertoire. En fait vous pouvez différencier, si vous le souhaitez, les accès aux fichiers. La syntaxe de .htaccess s'en trouve légèrement modifiée, par exemple pour protéger un fichier nommé <tt>common.php</tt> :

{| width="80%" bgcolor="#FFFFCC"
|
<tt><Files common.php></tt>

<tt>AuthName "Accès limité au fichier common.php par .htaccess"</tt>

<tt>AuthUserFile /etc/httpd/auth/common.users</tt>

<tt>AuthType Basic</tt>

<tt>require valid-user</tt>

<tt></Files></tt>
|}

L'intérêt de libeller <tt>AuthName</tt> de façon explicite apparaît ici de façon nette. Lors des essais vous pourrez en effet savoir immédiatement quels sont les contrôles d'accès qui sont en place.

Vous pouvez souhaiter protéger plus spécifiquement l'accès à un fichier particulier. La solution consiste à créer un fichier .htaccess libellé comme suit :

Exemple pour protéger un fichier <tt>common.php</tt> :

<center>

{| width="80%" bgcolor="#FFFFCC"
|
<tt><Files common.php></tt>

<tt>Order Deny,Allow</tt>

<tt>Deny from All</tt>

<tt></Files></tt>
|}

</center>

Pour protéger plusieurs fichiers il suffit de créer plusieurs rubriques <tt><Files> </Files></tt>.

Attention: cette méthode interdit l'accès via le serveur Web pour tout le monde, y compris le propriétaire du fichier, l'administrateur, etc.

=== 3.5 Rendre le contenu d'un sous-répertoire invisible ===

L'astuce qui suit consiste simplement à faire afficher par le serveur Web une page html qui signale au visiteur qu'il n'a rien à faire dans ce sous-répertoire.

Lorsque Apache accède à un sous-répertoire pour satisfaire à la demande d'un navigateur client il commence par vérifier les autorisations d'accès (voir ci-dessus). S'il ne rencontre pas de veto alors il part à la recherche d'un éventuel fichier index.html ou index.php (si PHP est installé). S'il ne trouve pas ce fichier alors il affiche le contenu du sous-répertoire qui apparaît donc en clair pour le visiteur.

Pour éviter que le contenu du sous-répertoire ne s'affiche il suffit donc de créer un fichier index.html ou index.php. Concevoir le contenu de ce fichier de telle sorte qu'il réponde à votre attente, du simple message d'avertissement au script PHP qui va renvoyer de force le visiteur dans le droit chemin. C'est simple et relativement efficace pour un environnement non critique. La solution la plus simple consiste simplement à créer un fichier index.html vide. Le navigateur recevra donc une page blanche. Pas très explicite mais simple et efficace !

Attention, il s'agit là simplement de créer une dissuasion. Nous ne sommes plus dans le domaine de la protection gérée comme ci-dessus. Un utilisateur qui connaîtrait un ou plusieurs noms de fichiers contenus dans ce sous-répertoire pourrait y accéder sans le moindre problème en tapant simplement leurs URL complets ! De grâce, ne construisez pas un site central de banque avec de telles méthodes !

== 4 Protection du gestionnaire de bases de données MySQL ==

Un peu comme dans le cas d'Apache cette section est spécifique à MySQL. Il importe peu pour ce qui va suivre qu'Apache soit installé ou non (idem pour PHP). Nous supposerons que les notions de bases du langage SQL sont connues (ben voyons !). La première partie de ce chapitre va en effet faire largement appel à ce langage pour régler la configuration. Attention, nous allons utiliser le client texte MySQL ! Efficace mais pour le moins spartiate !

Pour commencer ouvrez une fenêtre texte (xterm, rxvt, terminal ou autre) et lancez le client MySQL par :

<tt>'''<nowiki>#</nowiki>''' mysql -u root</tt> (on suppose que vous êtes logué comme root).

<nowiki>La réponse devrait être immédiate ``Welcome to the MySQL Monitor ....'' et se terminer par l'invite de commande de MySQL qui est modestement mysql>. Je reproduirais cette invite pour tous les exemples de syntaxe SQL donnés ci-dessous. </nowiki>

Attention, vous êtes logué comme administrateur, tout ce que vous allez faire pourra devenir dramatique en cas d'erreur !

tapez <tt>mysql>use mysql;</tt> pour préciser au serveur d'utiliser dans ce qui suit la base de données nommée mysql.

<nowiki>La réponse devrait se terminer par ``Database changed''. </nowiki>

=== 4.1 Configuration des fichiers d'autorisations d'accès ===

La protection de MySQL s'articule autour des fichiers d'autorisations (qui constituent eux-même une base de données MySQL) qui définissent très précisément les droits de chaque utilisateur, des informations les plus globales (telle base de donnée est accessible à tel utilisateur) aux plus pointues (la n-ième colonne de telle table est accessible pour tel utilisateur mais seulement pour telle opération).

Ces droits sont différenciés, consultation, mise à jour, etc.

La base de données qui décrit la structure des autorisations d'accès est contenue dans <tt>/var/lib/mysql/mysql/</tt> (dans l'installation Mdk8.0). Cette BDD est créée automatiquement par le script d'installation du package MySQL. Vous pouvez consulter la liste des tables de cette base par <tt>mysql>show tables;</tt>

Cette commande affiche la liste des tables constituant la BDD.

L'objet du présent document étant de constituer une aide de départ (et non de remplacer la documentation spécialisée) nous ne nous intéresseront dans ce qui suit qu'à une seule table de cette base de données, la table user qui défini les droits d'accès globaux des utilisateurs à l'ensemble des BDD. De même nous n'étudierons que le cas d'une machine isolée servant à la fois de serveur et de client. La configuration en réseau n'est guère plus complexe mais dépasserait le cadre de la présente étude.

==== 4.1.1 Structure de la table user ====

La structure de la table user est assez simple. Elle contient les champs suivants:

<center>

{| width="80%" border="BORDER"
| <tt>Host char(60)</tt>
| nom de la machine depuis laquelle est fait l'appel
|-
| <tt>User char(16)</tt>
| login de l'utilisateur
|-
| <tt>Password char(16)</tt>
| mot de passe codé
|-
| <tt>Select_priv</tt>
| droits d'effectuer des requêtes sélect (valeur Yes ou No)
|-
| <tt>Insert_priv</tt>
| ...
|-
| <tt>Update_priv</tt>
| ...
|-
| <tt>Delete_priv</tt>
| ...
|-
| <tt>Create_priv</tt>
| droits d'effectuer une création de table
|-
| <tt>Drop_priv</tt>
| droits de suppression d'une table
|-
| <tt>Reload_priv</tt>
| droits de relancer le serveur MySQL
|-
| <tt>Shutdown_priv</tt>
| droits d'arrêter le serveur MySQL
|-
| <tt>Process_priv</tt>
|
|-
| <tt>File_priv</tt>
|
|-
| <tt>Grant_priv</tt>
|
|-
| <tt>References_priv</tt>
|
|-
| <tt>Index_priv</tt>
|
|-
| <tt>Alter_priv</tt>
|
|}

</center>

Cette structure peut être consultée très simplement par <tt>mysql>desc user;</tt> Son contenu peut être affiché par <tt>mysql>select * from user;</tt>

==== 4.1.2 Mise à jour de la table user ====

Cette table contient d'origine (après l'installation décrite dans le document précédent) 4 enregistrements qui définissent les droits de l'administrateur depuis localhost et localhost.localdomain et ceux d'un utilisateur non nommé depuis les mêmes hôtes. L'administrateur root (dont vous utilisez le compte actuellement) a tous les droits, l'utilisateur non nommé aucun, si ce n'est celui d'accéder à la base de données mais sans pouvoir faire la moindre opération. Vous constaterez également que root n'a pas de mot de passe (voir plus haut, cette partie du script a été sautée au moment de l'installation de façon à ne pas bloquer le fonctionnement de phpMyAdmin).

La première étape va consister à supprimer les lignes qui sont inutiles de telle sorte à ne conserver qu'une seule ligne, celle qui correspond à l'administrateur root depuis localhost.

Tapez donc :

<tt>mysql>delete from user where Host='localhost.localdomain';</tt>

<tt><nowiki>mysql>delete from user where User='';</nowiki></tt>

<tt>mysql>select * from user;</tt>

Cette fois la liste devrait contenir le seul enregistrement relatif à root depuis localhost.

Pour ajouter un utilisateur lambda procédez comme suit :

<tt>mysql>insert into user values('localhost','lambda',password('mdp_lambda'), 'Y','Y','Y','Y','N','N','N','N','N','N','N','N','N','N');</tt>

Ne comptez pas, il y a 4 'Y' et 10 'N' !

Vous venez de créer un nouvel utilisateur nommé lambda et dont le mot de passe est mdp_lambda (vous mettez bien sûr ce qui vous convient).

La syntaxe de cette ligne mérite quelques commentaires :

* Insert into user ... donne l'ordre de créer une nouvelle ligne dans la table user.
* Une ligne insert complète (avec toutes les options SQL) préciserait la liste des champs à compléter, dans ce cas particulier nous donnons exactement autant de valeurs (values) qu'il y a de champs dans la table, l'affectation des valeurs aux champs devient donc implicite (et la ligne plus simple !).
* La liste values() contient exactement 17 valeurs séparées par des virgules. Les chaînes de caractères sont placées entre guillemets simples (').
* La composition de cette liste reflète précisément la structure de la table user mise en évidence précédemment avec <tt>mysql>desc user;</tt>
* Le nouvel utilisateur dispose de 4 droits simples, sélection, insertion de nouvelles lignes, modifications de lignes existantes et effacement de lignes. Il ne peut ni créer une nouvelle table, ni en effacer une existante. Toutes les fonctions d'administration lui sont interdites.
* Password() est une fonction texte qui transforme un mot de passe donné en clair en une chaîne codée.

Vous pouvez maintenant quittez le client mysql en tapant <tt>mysql>quit;</tt>

==== 4.1.3 Rechargement de la table des autorisations par MySQL ====

Il reste à vérifier la validité de ce nouvel utilisateur en essayant de se connecter avec ce nouveau login. Mais avant il faut que MySQL actualise la table des autorisations conservée en mémoire et chargée au lancement initial du serveur.

Pour cela tapez dans un terminal :

<tt>'''<nowiki>#</nowiki>''' mysqladmin flush-privileges</tt>

Cette commande demande à MySQL de recharger les tables définissant les autorisations d'accès depuis le disque sans pour autant arrêter le serveur.

Une autre solution plus brutale serait d'arrêter le serveur et de le redémarrer en tapant (compte root) <tt><nowiki># /etc/rc.d/init.d/mysql stop</nowiki></tt> puis <tt><nowiki># /etc/rc.d/init.d/mysql start</nowiki></tt>.

On peut enfin arrêter complètement LINUX et relancer mais là c'est la honte, n'est-ce pas ? Nous ne sommes pas sous Window$ que diable !

==== 4.1.4 Login avec le nouveau compte ====

Vous pouvez maintenant vous loguer avec le compte nouvellement créé. Plusieurs possibilités s'offrent à vous :

* <tt>$ mysql -u lambda -pmdp_lambda</tt> Cette syntaxe vous donne l'accès direct. Attention: vous laissez un espace après -u mais pas après -p, collez directement le mot de passe à -p !Inconvénient : le mot de passe apparaît en clair, sur l'écran mais aussi dans l'historique des frappes au clavier.
* <tt>$ mysql -u lambda -p</tt> Avec cette syntaxe le serveur MySQL vous demandera immédiatement le mot de passe associé au login lambda. Vous devrez taper ce mot de passe en aveugle. Il n'apparaîtra donc ni à l'écran, ni dans un historique de frappes.
* <tt>$ mysql -u lambda -p mysql</tt> Variante de la précédente, l'espace après -p va provoquer une demande de mot de passe comme ci-dessus, l'indication de mysql va indiquer au serveur d'utiliser la base de donner mysql (équivalent à <tt>mysql>use mysql;</tt>).

Ce qui ne marche pas:

* <tt>$ mysql -u lambda</tt> MySQL va protester parce que l'utilisateur lambda est connu comme étant validé par un mot de passe. Le message sera assez explicite puisqu'il se termine par Using password: YES. Nota : voir plus loin le chapitre Automatisation des connexions, il sera possible d'automatiser l'indication du mot de passe et donc de se connecter en utilisant cette syntaxe.

Voilà, vous êtes maintenant en mesure de modifier efficacement le fichier user pour accorder et retirer des droits à chacun des utilisateurs de votre système. Ce chapitre n'a simplement fait que soulever un coin du voile sur la question. L'étude de l'utilisation des autres fichiers de <tt>/var/lib/mysql/mysql/</tt> vous permettra de définir encore mieux ces droits et de créer des droits différenciés par BDD et par utilisateur, voire même par table ou par champ. L'étape suivante s'articulerait autour de la table db. Cette étude de détail sortirait toutefois du cadre fixé ici.

=== 4.2 Automatisation des connexions ===

A ce stade nous pouvons définir autant d'utilisateurs que souhaité. Chacun devra se connecter à MySQL avec la syntaxe $ mysql -u utilisateur -p (utilisateur étant à remplacer par le login). En réponse MySQL demandera le mot de passe correct.

Il peut paraître lourd, alors que LINUX vous a déjà demandé de vous identifier correctement au login, de se re-identifier à nouveau à chaque lancement d'un client MySQL.

Cette procédure est heureusement contournable.

A chaque lancement d'un client MySQL celui-ci va en effet vérifier la présence des fichiers suivants:

* /etc/my.conf
* /var/lib/mysql/my.conf
* /.my.conf, étant le répertoire home de l'utilisateur LINUX dûment logué et identifié.

Dès qu'il trouvera un fichier le client MySQL lira les données de configuration qui y sont rangées et ira à la recherche du fichier suivant dans la liste et dans cet ordre.

Les données les plus récentes iront à chaque fois écraser les plus anciennes ce qui permet de personnaliser très finement le comportement du client MySQL en fonction des besoins de l'utilisateur. Et parmi ces données, mais vous l'aurez déjà deviné, figurent le mot de passe de connexion au serveur MySQL !

Dans une installation de base aucun de ces fichiers n'existe. Par contre le sous-répertoire /usr/share/mysql/ contient un certain nombre de fichiers exemples nommés my-small.cnf, my-medium.cnf, etc. qui correspondent à des propositions de fichiers de configuration pour différents cas d'utilisation. Les premières lignes de chacun de ses fichiers précisent les domaines d'application.

Pour automatiser le login MySQL pour un utilisateur lambda en se basant sur le modèle medium procéder comme suit :

* Copier /usr/share/mysql/my-medium.cnf vers /.my.cnf (fichier caché).
* Editer /.my.cnf et modifiez la rubrique [client], la première qui soit proposée après l'entête, de telle sorte à faire apparaître une ligne password = mot_de_passe (remplacer mot_de_passe par le mot de passe MySQL en clair de l'utilisateur). Dans le fichier exemple cette ligne est affectée d'un signe commentaire (#) qu'il faudra effacer. Pour simplifier vous pouvez même supprimer toutes les autres ligne de ce fichier et ne laisser que le paragraphe [client]. De la sorte vous évitez d'écraser des configurations ajustées qui auraient été mises en place, ou pourraient l'être ultérieurement, dans /etc/my.conf ou /var/lib/mysql/my.conf.
* Sauvegardez et modifiez les droits d'accès du fichier sauvegardé en tapant $ chmod 700 .my.cnf pour limiter les droits d'accès. Il serait en effet détestable qu'on puisse lire votre mot de passe MySQL !

Le tour est joué ! A la prochaine connexion avec le client MySQL celui-ci trouvera le mot de passe et établira une connexion directe en utilisant le login LINUX de l'utilisateur et le mot de passe mémorisé dans <tt>/.my.cnf</tt>. Pour vérifier tapez simplement $ mysql pour lancer un client MySQL. La connexion devrait être immédiate. Vérifiez sous quel login vous êtes entré en tapant <tt>mysql> select user();</tt> ce qui devrait provoquer l'affichage d'un tableau à une seule cellule titrée user() et contenant une information du genre lambda@localhost. 

== 5 Contrôle des accès MySQL initiés par des scripts PHP. ==

Un script PHP qui accède à une base de données MySQL le fait dans des conditions fixées par la syntaxe de la commande de connexion. En PHP on obtient une connexion à un serveur MySQL au moyen de la commande <tt>mysql_connect()</tt>. Celle-ci utilise trois arguments, $host, $user, $password et renvoie une valeur TRUE, 1 si la connexion est établie, FALSE, 0 si celle-ci a échoué.

<nowiki>Le login de connexion ainsi que le mot de passe apparaissent donc en clair dans le script de connexion ce qui est moyennement satisfaisant. Aspect positif le script lui-même n'est jamais envoyé au client puisque PHP s'exécute entièrement sur le serveur (contrairement à JAVA). Il n'y a donc aucune raison pour qu'un visiteur puisse lire ce mot de passe. Oui, mais... il n'y a pas que des visiteurs ``normaux'' ! </nowiki>

Une protection supplémentaire (et aussi une simplification si on rédige beaucoup d'applications PHP) est de définir ses variables $host, $user et $password dans un fichier extérieur au script lui-même et d'incorporer ces valeurs au moyen d'une directive include. Avantage : le fichier qui contient les variables peut être stocké en dehors des sous-répertoires consultés normalement par Apache (hors de l'arborescence /var/www/html/), et protégé par un fichier .htaccess.

Finalement le contrôle d'accès à MySQL via un script PHP découle directement de ce qui a été exposé au chapitre précédent et s'appuie directement sur les règles d'accès à MySQL définies dans la base de données /var/lib/mysql/mysql/. Il peut donc s'avérer souhaitable de créer un compte utilisateur MySQL spécifique aux applications PHP qui tournent sur le serveur. On pourrait aussi imaginer d'en créer plusieurs, 1 par famille de scripts par exemple. 

== 6 Cas particulier de phpMyAdmin. ==

PhpMyAdmin est une petite merveille, un ensemble de scripts PHP, qui permet d'accéder au serveur MySQL en utilisant une interface graphique plus avenante que le spartiate client MySQL en mode texte.

L'installation par défaut conduit à faire de phpMyAdmin un client MySQL avec un login root sans mot de passe (d'où l'intérêt de ne pas mettre, dans un premier temps, de mot de passe au compte root faute de quoi phpMyAdmin ne serait plus en mesure d'accéder au serveur MySQL).

En fait le fonctionnement de phpMyAdmin est réglé par le fichier <tt>/var/www/html/phpMyAdmin/config.inc.php3</tt>

Ce fichier, assez court, contient notamment les lignes suivantes : 

<center>

{| width="80%" bgcolor="#FFFFCC"
|
<tt>// The $cfgServers array starts with $cfgServers[1]. Do not use $cfgServers[0].</tt>

<tt><nowiki>// You can disable a server config entry by setting host to ''.</nowiki></tt>

<tt>$cfgServers[1]['host'] = 'localhost'; // MySQL hostname</tt>

<tt><nowiki>$cfgServers[1]['port'] = ''; // MySQL port - leave blank for default port</nowiki></tt>

<tt>$cfgServers[1]['adv_auth'] = false; // Use advanced authentication?</tt>

<tt>$cfgServers[1]['stduser'] = 'root'; // MySQL standard user (only needed with advanced auth)</tt>

<tt><nowiki>$cfgServers[1]['stdpass'] = ''; // MySQL standard password (only needed with advanced auth)</nowiki></tt>

<tt>$cfgServers[1]['user'] = 'root'; // MySQL user (only needed with basic auth)</tt>

<tt><nowiki>$cfgServers[1]['password'] = ''; // MySQL password (only needed with basic auth)</nowiki></tt>

<tt><nowiki>$cfgServers[1]['only_db'] = ''; // If set to a db-name, only this db is accessible</nowiki></tt>

<tt><nowiki>$cfgServers[1]['verbose'] = ''; // Verbose name for this host - leave blank to show the hostname</nowiki></tt>
|}

</center>

Le texte de ce fichier semble assez explicite. Il nécessite toutefois une analyse plus détaillée pour bien en comprendre certaines finesses.

$cfgServers[1] désigne le premier serveur MySQL, le seul qui nous intéresse ici (il semblerait qu'il y ait des vicieux qui démarrent plusieurs serveurs.. imaginez un peu ;-)).

Le paramètre important est [adv_auth]. Il peut prendre deux valeurs, false (défaut à l'installation) et true.

=== 6.1 Configuration avec adv_auth = false ===

Avec false l'authentification se fait selon une ancienne méthode qui utilise les valeurs de $cfgServers[1]['user'] et $cfgServers[1]['password'] pour s'identifier auprès de MySQL. L'installation de base résumée ci-dessus reflète cette authentification. En clair phpMyAdmin s'enregistre sous compte root et sans mot de passe. C'est précisément la raison pour laquelle il ne faut surtout pas, en cours d'installation de MySQL, donner suite à la proposition du script de définir un mot de passe administrateur (voir http://jeanmarc.lichtle.free.fr/Apache_PHP_MySQL.html). Définir un mot de passe à ce stade de l'installation bloquerait le fonctionnement ultérieur de phpMyAdmin. Pour le vérifier faites simplement l'essai de fixer un mot de passe pour root dans MySQL. La syntaxe SQL est la suivante (mais vous l'aurez déjà deviné) :

<tt>mysql> update user set Password=password('mdp_root') where user = 'root';</tt>

Un petit coup de <tt><nowiki># mysqladmin flush-privileges</nowiki></tt> (y'en a qui avaient oublié !?) et voilà le mot de passe administrateur pris en compte par le serveur MySQL. Pour la petite histoire c'est la dernière fois que vous tapez cette commande avec cette syntaxe simple. Maintenant que root a un mot de passe dans MySQL il faudra utiliser la syntaxe <tt><nowiki># mysqladmin -u root -p flush-privileges</nowiki></tt>, ce qui va provoquer la demande du mot de passe par le serveur.

Et maintenant adieu phpMyAdmin, ça ne marche plus ! Seulement voilà, arrivé à ce stade de notre étude nous savons comment faire prendre en compte ce mot de passe par phpMyAdmin. Il suffit de l'incorporer au fichier de configuration <tt>/var/www/html/phpMyAdmin/config.inc.php3</tt><nowiki> à la ligne $cfgServers[1]['password'] = ''. </nowiki>

Au prochain lancement de phpMyAdmin le fichier de configuration va être pris en compte et tout va rentrer dans l'ordre, la connexion s'effectuant à nouveau de façon directe...

Bon, ça ne marche pas ? Ne vous affolez pas ! Je fais le pari que vous avez fait des essais de .htaccess ou de httpd.conf sur le sous répertoire de phpMyAdmin et qu'il reste des traces des essais effectués précédemment. Supprimez (ou renommez) l'éventuel fichier .htaccess situé dans le sous répertoire <tt>/var/www/html/phpMyAdmin/</tt> et/ou mettez des commentaires (#) aux éventuelles lignes ajoutées à <tt>/etc/httpd/conf/httpd.conf</tt>. Attention de relancer Apache si vous modifiez httpd.conf !

=== 6.2 Configuration avec adv_auth=true ===

L'authentification avancée diffère légèrement du cas précédent en ce que le login et le mot de passe de l'utilisateur qui lance phpMyAdmin sont demandés au lancement. Il n'y a plus un login de connexion unique, celui-ci peut changer en fonction des informations données par l'utilisateur qui lance phpMyAdmin. Ces informations sont ensuite comparées à la base de données des utilisateurs autorisés par MySQL. La connexion est établie si les informations sont correctes.

Il faut toutefois établir une première connexion de façon à avoir un accès temporaire à la table user. C'est à cette fin que la configuration prévoit un compte défini par $cfgServers[1]['stduser'] et $cfgServers[1]['stdpass'], ces deux variables devant permettre la vérification des droits d'accès. Il va sans dire que le [stduser] désigné ici devra avoir des droits suffisants pour lire la table user.

Cette authentification offre au minimum deux avantages :

* Les accès à MySQL via phpMyAdmin sont différenciés suivant les utilisateurs et suivent exactement les règles d'autorisation d'accès à MySQL.
* Le mot de passe administrateur n'a plus à figurer dans le fichier de configuration de phpMyAdmin. Il suffit de créer dans la table user de MySQL un utilisateur, nommé par exemple phpMyAdmin, dont les droits sont strictement limités à la consultation des tables (et donc de la table user). Il suffit de mettre un seul 'Y' et 13 'N' dans la fameuse requête de création d'un utilisateur. N'oubliez pas de relancer <tt>mysqladmin -u root -p flush-privileges</tt> hein !

Pour le fun, et c'est une excursion vers l'étude de la configuration avancée des droits d'accès MySQL on peut même limiter encore plus les droits de cet utilisateur spécial. Il suffit de ne lui donner aucun droit dans la table user (14 fois 'N') et de lui créer une ligne dans la table db. Cherchez bien, la syntaxe est extrêmement proche de celle qui ajoute un utilisateur dans user, il suffit de préciser cette fois que ces droits s'applique spécifiquement à la base de données mysql. L'utilisateur 'phpMyAdmin' aura donc uniquement le droit de lire le contenu des tables user, db etc.. qui constituent la base mysql.

Vous pouvez même aller plus loin dans le raisonnement et limiter les droits strictement à la table user. Mais là c'est une autre affaire, je sens que vous allez passer quelques heures sur l'étude détaillée des droits d'accès MySQL.

== 7 Le petit bréviaire ==

Je ne sais pas si vous êtes comme moi mais j'ai besoin de prendre des notes pour retrouver rapidement les informations vitales dans un document aussi touffu que celui-ci.

Parmi les informations qu'il me semble intéressant de résumer ici je dresse à toutes fins utiles la liste des fichiers et répertoires qui ont été évoqués ci-dessus (dans leur ordre d'apparition en scène): 

<center>

{| border="BORDER" cellpadding="3"
| align="LEFT" | '''Répertoire /fichier'''
| align="LEFT" | '''Fonction'''
|-
| align="LEFT" | <tt>/var/www/html/</tt>
| align="LEFT" | Base arborscence site Web
|-
| align="LEFT" | <tt>/var/www/html/phpMyAdmin/config.inc.php3</tt>
| align="LEFT" | Configuration de phpMyAdmin
|-
| align="LEFT" | <tt>/var/lib/mysql/mysql/</tt>
| align="LEFT" | Base de données des droits d'accès
|-
| align="LEFT" | <tt>/var/lib/mysql/my.conf</tt>
| align="LEFT" | Configuration de base de MySQL (optionnel)
|-
| align="LEFT" | <tt>/etc/httpd/auth/</tt>
| align="LEFT" | Rangement des fichiers d'authentification par .htaccess
|-
| align="LEFT" | <tt>/etc/httpd/conf/httpd.conf</tt>
| align="LEFT" | Configuration serveur Apache
|-
| align="LEFT" | <tt>/etc/rc.d/init.d/httpd</tt>
| align="LEFT" | Lancement du serveur Apache option restart
|-
| align="LEFT" | <tt>/etc/rc.d/init.d/mysql</tt>
| align="LEFT" | Lancement du serveur MySQL opt stop ou start
|-
| align="LEFT" | <tt>/etc/my.conf</tt>
| align="LEFT" | Configuration de base de MySQL (optionnel)
|-
| align="LEFT" | <tt>/.my.conf</tt>
| align="LEFT" | Configuration de base de MySQL (opt. spécif. util.)
|-
| align="LEFT" | <tt>/usr/share/mysql/</tt>
| align="LEFT" | Contient des exemples de fichier my.cnf
|-
| align="LEFT" | <tt>/var/log/httpd/</tt>
| align="LEFT" | Contient les fichiers log
|}

</center>

Je précise à nouveau que ce document s'applique au cas d'une installation en environnement LINUX Mandrake 8.0 telle que décrite dans un document identifié plus haut. Un système qui serait basé sur une autre distribution et/ou qui utiliserait des versions d'Apache, PHP ou MySQL qui auraient été compilées par l'utilisateur pourrait utiliser d'autre répertoires pour stocker les différentes informations. L'essentiel est d'obtenir un ensemble cohérent.

== 8 Conclusion ==

L'exposé ci-dessus devait vous mettre en situation d'appréhender sérieusement la question assez complexe (mais oh combien stratégique) du contrôle des accès sur un serveur Apache PHP MySQL. J'espère avoir atteint cet objectif en montrant comment structurer la réflexion :

* protection du serveur Apache
* protection du serveur MySQL
* mise en place de contrôles d'accès via le langage PHP et plus précisément avec le script phpMyAdmin.

Il est évident qu'un sujet aussi vaste ne peut être qu'effleuré en quelques pages aussi je vous renvoie vers la littérature plus complète (livres, HowTo, pages man etc..) sur les différents points abordés.

J'espère sincèrement que ce document servira un jour à quelqu'un. Sa rédaction est de toute façon justifiée par le simple fait que l'exercice m'a obligé à mettre mes connaissances et mes notes au propre, à tester pas à pas toutes mes propositions. J'en suis donc le premier lecteur. N'hésitez pas à me faire part de votre avis sur l'intérêt de cette étude. Toute suggestion d'amélioration sera bienvenue. 

== L'auteur ==

JML dit Jean-Marc LICHTLE, email jean-marc.lichtle@gadz.org, ingénieur Arts et Métiers promo CH173 (rigolez pas, à l'époque les écrans n'existaient pas, le conversationnel c'était à grands renforts de télétypes et de rouleaux de papier! Pire encore, 16 clés, 16 voyants et un bouton run! Beurk.....)

<div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Jean-Marc LICHTLE le 01/10/2001.</div>

= Copyright =
Copyright © 01/10/2001, Jean-Marc LICHTLE
{{CC-BY-NC-SA}}