Comment configurer IPTables sous Linux ? [Guide étape par étape 2021]

IPTables est le nom d'un système de pare-feu qui s'exécute sur Linux via la ligne de commande.Le programme est principalement utilisé commeUbuntuL'utilitaire par défaut fourni sur.Les administrateurs utilisent souvent des pare-feu IPTables pour autoriser ou empêcher le trafic d'entrer dans leurs réseaux.

Si vous débutez avec IPTables, la première chose à faire est de le mettre à jour ou de l'installer à l'aide de la commande suivante :

$ sudo apt-get installer iptables

Bien que les utilisateurs qui ne sont pas familiers avec l'interface de ligne de commande trouvent que IPTables a une courbe d'apprentissage, l'utilitaire lui-même est très simple et facile à utiliser.Il existe une série de commandes de base qui peuvent être utilisées comme base pour contrôler le trafic.Cela étant dit, vous devez être très prudent lorsque vous modifiez les règles IPTables.La saisie d'une mauvaise commande peut vous empêcher complètement d'accéder à IPTables jusqu'à ce que vous résolviez le problème sur la machine physique.

Dans cet article, nous vous fournirons un guide de base sur IPTables et vous présenterons les bases.Avant d'entrer dans le cœur d'IPTables, vous devez vous assurer que vous disposez d'unExécuter Ubuntu 16.04的VPAavec unAvec le client SSH的 Machine locale.Si vous les avez déjà, il est temps de commencer.

Tutoriel IPTables : Chaîne

L'un des concepts de base à maîtriser dans IPTables est le concept de chaînes.La chaîne est essentiellement une règle.La table de filtrage a trois chaînes que vous rencontrerez sur IPTables ;Importer,Vers l'avant etProduction.

• • CONTRIBUTION  – La chaîne INPUT est la règle qui contrôle les paquets de données entrants.Vous pouvez bloquer ou autoriser de nouvelles connexions ici.Vous pouvez le faire en fonction du port, du protocole et de l'adresse IP source.

• AVANT  – La chaîne FORWARD filtre les paquets entrants qui sont transférés vers différents emplacements terminaux.À moins que vous ne réalisiez un routage ou que vous recherchiez spécifiquement un transfert, il est peu probable que vous utilisiez cette chaîne.
• SORTIE  – La chaîne OUTPUT est utilisée pour gérer les paquets de données sortants et les connexions.Il est important de noter que si vous envoyez un ping à un hôte externe, la chaîne d'entrée sera utilisée pour vous renvoyer les données.

Comportement de la chaîne par défaut

Vous souhaiterez peut-être passer directement à la configuration de règles spécifiques au début, mais vous devez prendre du recul pour définir le comportement par défaut.Pour déterminer le comportement par défaut de la chaîne, vous devez exécuter la commande suivante :

$ sudo iptables -L commande

Cela affichera les éléments suivants :

utilisateur@ubuntu :~$ sudo iptables -L -v 
Chaîne INPUT (politique ACCEPTER) 
Chaîne FORWARD (politique ACCEPTER) 
SORTIE de chaîne (politique ACCEPTER) 
utilisateur@ubuntu :~$

Ces informations vous indiquent exactement le but de la configuration de la chaîne.Dans l'exemple, les chaînes d'entrée, de transfert et de sortie ont été configurées pour accepter le trafic.Ces paramètres sont un bon point de départ, car ils n'empêcheront pas les connexions souhaitées.

Cependant, si vous constatez que votre stratégie n'accepte pas les connexions, vous pouvez entrer chacune des commandes suivantes pour accepter toutes les connexions :

$ sudo iptables —politique INPUT ACCEPT

$ sudo iptables —policy SORTIE ACCEPTER

$ sudo iptables --policy FORWARD ACCEPT

Une fois que vos paramètres par défaut acceptent toutes les connexions, vous pouvez contrôler l'accès à IPTables en bloquant les adresses IP et les numéros de port.Cela vous permet de spécifier les connexions à bloquer au lieu de bloquer toutes les connexions par défaut.

Si vous traitez des informations particulièrement sensibles, vous pouvez configurer les paramètres par défaut pour bloquer automatiquement toutes les connexions.De cette façon, vous pouvez utiliser IPTables pour sélectionner les adresses IP individuelles que vous souhaitez autoriser.Pour ce faire, vous devez entrer la commande suivante :

$ sudo iptables --policy INPUT DROP

$ sudo iptables —policy BAISSE DE SORTIE

$ sudo iptables —politique FORWARD DROP

Il est préférable que la plupart des utilisateurs acceptent toutes les connexions, mais si vous travaillez sur un serveur haute sécurité, cela vaut la peine de s'en souvenir.

Configurer une seule connexion

Après avoir configuré le comportement de la chaîne par défaut, vous pouvez configurer une seule connexion.C'est ici que vous configurez la réponse dite spécifique à la connexion.Cela indique essentiellement à IPTables comment interagir lors de la connexion à une adresse IP ou à un port.Ces réponses sont les suivantes;接受,abandonner,Refuser.

Comme vous pouvez le voir dans l'image ci-dessus, l'utilisateur a défini des règles de chaîne pour autoriser, supprimer ou refuser les connexions en fonction des besoins.Voici une description du contenu de chaque réponse :

• ACCEPTER – Cette configuration autorise uniquement les connexions.
• GOUTTE  – Drop bloque la connexion sans interagir de quelque manière que ce soit avec la source.
• REJETER  – Cela bloquera la tentative de connexion, mais enverra également un message d'erreur.Il s'agit généralement d'informer la source que la tentative de connexion a été bloquée par le pare-feu.

Comment autoriser ou bloquer les connexions

Selon vos paramètres, il existe de nombreuses manières différentes de bloquer ou d'autoriser les connexions.L'exemple suivant utilise une méthode de blocage masqué, c'est-à-dire en utilisantGoutte Déconnectez-vous sans aucune interaction. iptables-A Nous permet d'ajouter des avertissements supplémentaires aux règles établies par les paramètres de chaîne par défaut.Vous verrez ci-dessous comment utiliser cette commande pour bloquer la connexion :

Bloquer une seule adresse IP :

$ sudo iptables -A ENTRÉE -S 10.10.10.10 -j DROP

Dans l'exemple ci-dessus, vous pouvez remplacer 10.10.10.10 par l'adresse IP que vous souhaitez bloquer.

Bloquer une série d'adresses IP :

$ sudo iptables -A ENTRÉE -s 10.10.10.10.0/24 -j DROP    

ou

$ sudo iptables -A ENTRÉE -s 10.10.10.0/255.255.255/.0 -j DROP

Bloquer un seul port :

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP 

Veuillez noter que'ssh peut être remplacé par n'importe quel protocole ou numéro de port.Notez également que le segment -p tcp du code est utilisé pour indiquer si le protocole que vous souhaitez bloquer est UDP ou TCP.

Si le protocole utilise UDP, alors vous entreriez-pudpAu lieu de-p TCP.Vous pouvez également bloquer toutes les connexions à partir d'adresses IP en entrant la commande suivante :

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Communication bidirectionnelle : tutoriel IPTables sur l'état de la connexion

La plupart des protocoles que vous rencontrez nécessitent une communication bidirectionnelle pour la transmission.Cela signifie que la transmission se compose d'une entrée et d'une sortie.Ce qui entre dans votre système est aussi important que ce qui en sort.L'état de la connexion vous permet de mélanger et de faire correspondre les connexions bidirectionnelles et les connexions unidirectionnelles.Dans l'exemple suivant, le protocole SSH bloque les connexions SSH à partir d'adresses IP, mais autorise les connexions aux adresses IP :

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NOUVEAU, ÉTABLI -j ACCEPT 

$ sudo iptables -A SORTIE -p tcp —sport 22 -d 10.10.10.10.-m état —état ÉTABLI -J ACCEPTER

Après avoir entré la commande pour modifier l'état de la connexion, vous devez enregistrer les modifications.Si vous ne le faites pas, votre configuration sera perdue lorsque vous fermerez l'utilitaire.Selon le système de distribution que vous utilisez, vous pouvez utiliser de nombreuses commandes différentes :

Ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS –

$ sudo /sbin/service iptables sauvegarder

ou

$ sudo /etc/init.d/iptables enregistrer

N'oubliez pas que l'utilisation de ces commandes est très importante, car cela peut éliminer les tracas d'avoir à configurer à chaque fois que l'utilitaire est chargé.

Supprimer la règle

Tout aussi important que de pouvoir enregistrer des règles est de pouvoir les supprimer.Si vous avez fait une erreur ou souhaitez simplement éliminer les anciennes règles, vous pouvez utiliser l'option - D 命令.Cette commande doit être utilisée en conjonction avec le numéro de règle que vous avez entré.Ce nombre indique à IPTables quelle règle supprimer.Par exemple, si vous deviez saisir :

$ sudo iptables -D ENTRÉE 10

Ensuite, la 10ème règle que vous avez configurée sera supprimée.

Si vous souhaitez nettoyer la maison et supprimer une série de règles, vous pouvez utiliser-F commande.Vous pouvez le faire en entrant ce qui suit :

$ sudo iptables -F

Cela effacera l'ensemble de règles et actualisera votre IPTable.

IPTables : règles de la chaîne d'apprentissage !

Ceci conclut notre tutoriel IPTables.Comme vous pouvez le voir, IPTables est un moyen de bloquer et d'autoriserLinux/UnixVersion finaleOutil multifonction sur le flux.L'utilisation efficace de cet utilitaire implique de définir efficacement la configuration par défaut et de créer d'autres règles par-dessus.La configuration par défaut vous permettra de définir l'intention générale du trafic pour autoriser ou refuser le trafic ;Ces règles vous permettront de construire votre méthode en fonction de l'adresse IP, du port et du protocole.

Nous venons de gratter la surface du potentiel d'IPTables, vous pouvez utiliser de nombreuses commandes différentes pour décider comment expérimenter le trafic sur le serveur.Cependant, nous vous recommandons de comprendre les bases avant de commencer à utiliser d'autres commandes.Par exemple, avant de vous engager dans quelque chose de plus professionnel, vous devez comprendre les règles de base de la chaîne.

Une fois que vous vous êtes habitué au fonctionnement d'IPTables, vous pouvez commencer à intégrer plus de règles pour personnaliser votre expérience.En faisant cela, vous serez en mesure de spécifier avec précision les types de connexions que vous autoriserez avec une précision plus élevée que jamais.