Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
securite:firewall_iptables [2011/12/17 02:05]
Anael MOBILIA maj présentation de la page
securite:firewall_iptables [2014/05/27 03:32] (Version actuelle)
Ligne 1: Ligne 1:
-<style float-right>{{tag>iptables firewall pare-feu}}</style>+<style float-right>{{tag>iptables firewall pare-feu ipv4 ipv6}}</style>
  
 <style float-left>{{:icones:kgpg.png?nolink&70}}</style> <style float-left>{{:icones:kgpg.png?nolink&70}}</style>
Ligne 6: Ligne 6:
 //[[:|Retour à la liste des tutoriels]]// //[[:|Retour à la liste des tutoriels]]//
  
-<note tip>Explication des fonctionnalités principales d'iptables et création d'un script de configuration.</note>+<note tip>Explication des fonctionnalités principales d'iptables et création d'un script de configuration. 
 +\\ 
 +Utilisation d'IPv4 et IPv6</note>
 <note>**Prérequis** <note>**Prérequis**
   * Aucun prérequis pour ce tutoriel.   * Aucun prérequis pour ce tutoriel.
Ligne 26: Ligne 28:
  
  
-===== Iptables =====+===== Iptables IPv4 =====
  
 ==== Programmes à autoriser ==== ==== Programmes à autoriser ====
Ligne 152: Ligne 154:
 \\ \\
 [[http://wiki.debian.org/LSBInitScripts|Infos sur LSB]]</note> [[http://wiki.debian.org/LSBInitScripts|Infos sur LSB]]</note>
 +
 +
 +===== Ip6tables IPv6 =====
 +<note important>Si votre serveur possède une adresse IPv4 ainsi qu'une adresse IPv6, il convient de protéger correctement votre serveur sur les deux réseaux.
 +
 +Sinon cela reviendrait à mettre une porte blindée devant votre maison, mais laisser la porte de service grande ouverte... inutile !</note>
 +
 +==== IPv6, suis-je concerné ? ====
 +Pour déterminer si votre serveur possède une adresse IPv6 :
 +<code bash>ifconfig</code>
 +
 +Que faut-il lire ?
 +<code>eth0      Link encap:Ethernet  HWaddr c8:0a:a9:03:25:78  
 +          inet adr:88.191.122.115  Bcast:88.191.122.255  Masque:255.255.255.0
 +          adr inet6: 2a01:e0b:1:122:ca0a:a9ff:fe03:2578/64 Scope:Global
 +          adr inet6: fe80::ca0a:a9ff:fe03:2578/64 Scope:Lien
 +          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
 +          RX packets:210192407 errors:0 dropped:0 overruns:0 frame:0
 +          TX packets:97773119 errors:0 dropped:0 overruns:0 carrier:0
 +          collisions:0 lg file transmission:1000 
 +          RX bytes:143351720634 (133.5 GiB)  TX bytes:89455408641 (83.3 GiB)
 +          Interruption:28 Mémoire:feae0000-feb00000 </code>
 +La ligne nous intéressant est ''adr inet6''.
 +<note tip>Si une seule ligne est présente, et commence par fe80, votre serveur ne possède pas de connectivité internet IPv6.
 +
 +Sinon, votre serveur est accessible en IPv6.</note>
 +
 +==== ip6tables ====
 +Le pare-feu est ip**6**tables. Je vais réutiliser les mêmes configurations que pour l'IPv4.
 +
 +<note important>L'autorisation de l'ICMPv6 est obligatoire pour que vos sites web soient accessibles aujourd'hui !</note>
 +
 +Je rajoute dans mon script /etc/init.d/iptables :
 +<file bash iptables>
 +
 +# ----------------------------------- I P v 6 -----------------------------------------
 +
 +# vider les tables de filtrage existantes
 +ip6tables -t filter -F
 +ip6tables -t filter -X
 +
 +# autoriser le trafic entrant d'une connexion déjà active
 +ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 +# autoriser le trafic entrant SSH
 +ip6tables -A INPUT -p tcp -i eth0 --dport ssh -j ACCEPT
 +# autoriser le trafic entrant web
 +ip6tables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
 +# autoriser le ping
 +ip6tables -A INPUT -p icmpv6 -j ACCEPT
 +# autoriser toutes les connexions en loopback (connexion locale)
 +ip6tables -I INPUT 2 -i lo -j ACCEPT
 +
 +# restriction de tout le trafic entrant
 +ip6tables -P INPUT DROP
 +</file>
 +
  
 \\ \\
Ligne 159: Ligne 217:
   * [[http://doc.ubuntu-fr.org/iptables|Doc. Ubuntu-fr]]   * [[http://doc.ubuntu-fr.org/iptables|Doc. Ubuntu-fr]]
   * [[https://help.ubuntu.com/community/IptablesHowTo|Doc. Ubuntu]]   * [[https://help.ubuntu.com/community/IptablesHowTo|Doc. Ubuntu]]
-