Au-delà de Linux^® From Scratch - Version svn-20120120

Chapitre 4. Sécurité

Précédent
Cyrus SASL-2.1.23
Suivant
Paramétrer un pare-feu réseau
Niveau supérieur
Sommaire

Iptables-1.4.12

Ce paquet est connu pour se construire et fonctionner correctement sur une plateforme LFS-7.0.

Introduction à Iptables

La partie suivante de ce chapitre traite des pare-feux. L'outil principal de pare-feu pour Linux est iptables. Vous devrez installer iptables si vous souhaitez utiliser une forme de pare-feu.

Informations sur le paquet

Téléchargement (HTTP) : http://www.netfilter.org/projects/iptables/files/iptables-1.4.12.tar.bz2
Téléchargement (FTP) : ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.12.tar.bz2
Somme de contrôle MD5 du téléchargement : d3f145c2c91daecbb4251bc79390b46c
Taille du téléchargement : 480 Kio
Estimation de l'espace disque requis : 15 Mio
Estimation du temps de construction : 0.2 SBU

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/iptables

Configuration du noyau

Sur Linux, on a un pare-feu via une portion du noyau qui s'appelle netfilter. L'interface avec netfilter est iptables. Pour l'utiliser, vous trouverez les paramètres adéquats de configuration du noyau dans Networking ⇒ Networking Options ⇒ Network Packet Filtering.

Installation d'Iptables

[Note]

Note

L'installation ci-dessous n'inclut pas la construction de quelques bibliothèques d'extension spécialisées qui exigent les en-têtes raw dans le code source de Linux. Si vous souhaitez construire des extensions supplémentaires (si vous n'êtes pas sûr, vous n'en avez probablement pas besoin), vous pouvez regarder le fichier INSTALL pour voir un exemple de la façon de modifier le paramètre KERNEL_DIR= pour pointer vers le code source de Linux. Remarquez que si vous mettez à jour la version du noyau, il se peut que vous deviez aussi recompiler iptables et que l'équipe BLFS n'a pas testé d'utiliser les en-têtes du noyau raw.

Pour certaines architectures non x86, il se peut qu'il faille les en-têtes du noyau raw. Dans ce cas, modifiez le paramètre KERNEL_DIR= pour pointer vers le code source de Linux.

Installez iptables en lançant les commandes suivantes :

sed -i '/if_packet/i#define __aligned_u64 __u64 __attribute__((aligned(8)))' \
   extensions/libxt_pkttype.c &&
./configure --prefix=/usr     \
            --bindir=/sbin    \
            --sbindir=/sbin   \
            --libdir=/lib     \
            --libexecdir=/lib \
            --with-pkgconfigdir=/usr/lib/pkgconfig &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root :

make install &&
ln -sfv xtables-multi /sbin/iptables-xml

Explication des commandes

sed -i '/if_packet/i#define ...: Ce correctif sed compile iptables avec les entêtes du noyau linux-3.2 installé. Ce n'est pas nécéssaire si vous avez construit LFS avec des entêtes de noyau plus anciens, mais dans ce cas, cela n'est pas nuisible.

--bindir=/sbin, --sbindir=/sbin>:nbsp;: Assure que tous les exécutables vont dans /sbin.

--libdir=/lib, --libexecdir=/lib>:nbsp;: Assure que toutes les bibliothèques vont dans l'arborescence du repertoire /lib.

--with-pkgconfigdir=/usr/lib/pkgconfig>:nbsp;: Assure que tous les fichiers pkgconfig sont dans le repertoire standard.

ln -sfv xtables-multi /sbin/iptables-xml : Assure que le lien symbolique de iptables-xml est relatif.

Configuration d'Iptables

Des instructions d'introduction de configuration de votre pare-feu sont présentées dans la prochaine section : Firewalling

Script de démarrage

Pour paramétrer le pare-feu d'iptables au démarrage, installez le script d'initialisation /etc/rc.d/init.d/iptables fourni dans le paquet blfs-bootscripts-20111226.

make install-iptables

Contenu

Programmes installés: iptables, iptables-restore, iptables-save, iptables-xml, iptables-multi, ip6tables, ip6tables-restore, ip6tables-save, et ip6tables-multii

Bibliothèques installées: libip4tc.so, libip6tc.so, libiptc.so, libxtables.so, et numerous modules in /lib/xtables/

Répertoires installés: /lib/xtables/xtables et /usr/include/libiptc

Descriptions courtes

iptables	est utilisé pour paramétrer, maintenir et inspecter les tables de règles de filtrage de paquets IP du noyau Linux. C'est un lien symbolique vers iptables-multi.
iptables-restore	est utilisé pour restaurer des tables IP à partir de données spécifiées sur STDIN. Utilise la redirection E/S fournie par votre shell pour lire un fichier. C'est un lien symbolique vers iptables-multi.
iptables-save	est utilisé pour envoyer le contenu d'une table IP dans un format facilement parseable vers STDOUT. Utilisez la redirection E/S fournie par votre shell pour écrire dans un fichier. C'est un lien symbolique vers iptables-multi.
iptables-xml	est utilisé pour convertir la sortie de iptables-save au format XML. L'utilisation de la feuille de style `iptables.xslt` convertit le fond XML au format iptables-restore. C'est un lien symbolique vers iptables-multi.
ip6tables*	sont un ensemble de commandes pour IPV6 qui sont similaires aux commandes iptables vu précédement. Toutes ces commandes sont des liens symboliques vers ip6tables-multi.

Last updated on 2012-01-13 00:45:55 +0100

Précédent
Cyrus SASL-2.1.23
Suivant
Paramétrer un pare-feu réseau
Niveau supérieur
Sommaire