LINUX:Firewall

Révision datée du 12 janvier 2022 à 18:53 par Adebast (discussion | contributions) (Page créée avec « __FORCETOC__ =But= Etape très importante, il faut sécuriser et filtrer les connexions d'autant plus qu'on est directement connecté à internet. Vient s'ajouter le probl… »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

But

Etape très importante, il faut sécuriser et filtrer les connexions d'autant plus qu'on est directement connecté à internet. Vient s'ajouter le problème, propre à IPV4 de l'interfaçage entre le réseau public et le réseau privé. En outre une particularité de la connexion PPP doit être appliquée.


IPTABLES

Sous Linux, il existe plusieurs Firewall. Nous utilisons "iptables". L'autre, "nftables", commence à prendre plus d'importance.


Nous installons les modules suivants:

dnf install iptables-services
dnf install iptables-utils

Il comporte deux volets:

  • iptables orienté IPV4
  • ip6tables orienté IPV6

Les fichiers de configurations se trouvent dans le répertoire "/etc/sysconfig".

  • iptables-config et ip6tables-config regroupent respectivement pour IPV4 et IPV6 les options de lancement du service
  • iptables et ip6tables regroupent respectivement pour IPV4 et IPV6 les règles à appliquer

Pour activer ces services respectivement pour IPV4 et IPV6, nous utilisons les commandes:

systemctl enable iptables.service
systemctl enable ip6tables.service

Pour les lancer respectivement pour IPV4 et IPV6, nous utilisons les commandes:

systemctl start iptables.service
systemctl start ip6tables.service

A noter qu'il existe le service "firewalld.service" installé et activé à l'installation. Il peut être configuré pour utiliser soit iptables soit nftables. Il nous semble trop élémentaire; nous préférons concevoir nos propres séquences de règles. Pour cette raison, nous forçons son arrêt et son non lancement d'office avec les commandes suivantes.

systemctl disable firewalld.service
systemctl stop firewalld.service
systemctl mask firewalld.service

Comme nous avons désactivé IPV6, nous n'allons pas l'investiguer. Par sécurité, on garde une configuration qui bloque tout traffic et on lance le service concerné.


NAT


->retour au Router^PPPOE