Pensez à fermer la porte

Publié le 17 mai 2010 par Mimaury

Personne n’aimerait voir des inconnus visiter sa maison, quelque soit la signification que revête ce dernier verbe, qu’il exprime la volonté de voir, ou de nuire. Le rôle d’un pare-feu est celui d’une porte entre le monde privé et l’extérieur.En établissant certaines règles, les allez et venues sont filtrées pour garantir la sécurité de nos données. Avec l’usage connu du netbook, ces précautions prennent alors tout leur sens.

Création d’un script de protection:
Il existe plusieurs politique, la plus sûre étant sans conteste de refuser tout le trafic, puis d’octroyer au cas par cas des autorisations.

vi /etc/initi.d/firewall

et l’éditer de la sorte:

#!/bin/bash
#interdiction de tout le trafic
iptables -P INPUT DROP
iptables -P OUTPUT DROP

#autoriser le loopback(localhost)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#autoriser le tcp(HTTP)
iptables -A INPUT -p tcp –dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 80 -j ACCEPT

#autoriser ICMP(utilisé par ping)
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

#autoriser FTP
iptables -A OUTPUT -p tcp –dport 20:21 -j ACCEPT
iptables -A INPUT -p tcp –dport 20:21 -j ACCEPT

#autoriser SMTP
iptables -A INPUT -p tcp –dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 25 -j ACCEPT

#autoriser POP3
iptables -A INPUT -p tcp –dport 143 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 143 -j ACCEPT

#autoriser IMAP
iptables -A INPUT -p tcp –dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp –dport 110 -j ACCEPT

#autoriser NTP(horloge serveur)
iptables -A OUTPUT -p udp –dport 123 -j ACCEPT

Petite explication:
-P définit la politique par défaut pour les paquets entrant(INPUT) ou sortant(OUTPUT).DROP les rejette sans raison, c’est à dire sans envoyer d’avertissement à la machine émettrice.
On ajoute une politique par -A ….-j politique.
-i ou -o permettent de spécifier les interfaces selon quelles soient dessinatrices ou émettrices. -p précise le protocole et –dport le port en question.

L’activer dès le démarrage:
cd /etc/init.d
chmod +x firewall
update-rc.d firewall defaults