Iptables-1.6.0
Introduction à Iptables
La partie suivante de ce chapitre traite des pare-feux. L'outil
principal de pare-feu pour Linux est iptables. Vous devrez installer iptables si vous souhaitez utiliser une forme
de pare-feu.
This package is known to build and work properly using an LFS-7.10
platform.
Informations sur le paquet
Dépendances de Iptables
Facultatives
nftables
Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/iptables
Configuration du
noyau
Sur Linux, on a un pare-feu via une portion du noyau qui s'appelle
netfilter. L'interface avec netfilter est iptables. Pour l'utiliser, les paramètres
adéquats de configuration du noyau sont trouvés dans :
[*] Networking support ---> [CONFIG_NET]
Networking Options --->
[*] Network packet filtering framework (Netfilter) ---> [CONFIG_NETFILTER]
Installation de Iptables
Note
L'installation ci-dessous n'inclut pas la construction de
quelques bibliothèques d'extension spécialisées qui exigent les
en-têtes raw dans le code source de Linux. Si vous souhaitez construire des
extensions supplémentaires (si vous n'êtes pas sûr, vous n'en
avez probablement pas besoin), vous pouvez regarder le fichier
INSTALL
pour voir un exemple de la
façon de modifier le paramètre KERNEL_DIR=
pour pointer vers le
code source de Linux. Remarquez
que si vous mettez à jour la version du noyau, il se peut que
vous deviez aussi recompiler iptables et que l'équipe BLFS n'a pas testé
l'utilisation des en-têtes du noyau raw.
Pour certaines architectures non x86, il se peut qu'il faille les
en-têtes du noyau raw. Dans ce cas, modifiez le paramètre
KERNEL_DIR=
pour pointer
vers le code source de Linux.
Installez Iptables en lançant les
commandes suivantes :
./configure --prefix=/usr \
--sbindir=/sbin \
--disable-nftables \
--enable-libipq \
--with-xtlibdir=/lib/xtables &&
make
Ce paquet n'est pas fourni avec une suite de tests.
Maintenant, en tant qu'utilisateur root
:
make install &&
ln -sfv ../../sbin/xtables-multi /usr/bin/iptables-xml &&
for file in ip4tc ip6tc ipq iptc xtables
do
mv -v /usr/lib/lib${file}.so.* /lib &&
ln -sfv ../../lib/$(readlink /usr/lib/lib${file}.so) /usr/lib/lib${file}.so
done
Explication des commandes
--disable-nftables
:
Ce paramètre désactive la construction de la compatibilité
nftables. Supprimez-le si vous avez installé nftables.
--enable-libipq
: Ce
paramètre active la construction de libipq.so
qui peut être utilisé par certains
paquets extérieurs à BLFS.
--with-xtlibdir=/lib/xtables
:
Assure que les modules d'Iptables
sont installés dans le répertoire /lib/xtables
.
--enable-nfsynproxy
: Ce paramètre
active l'installation de l'outil de configuration SYNPROXY de
nfsynproxy.
ln -sfv ../../sbin/xtables-multi
/usr/bin/iptables-xml : Assure que le lien
symbolique de iptables-xml est relatif.
Configuration d'Iptables
Des instructions d'introduction de configuration de votre pare-feu
sont présentées dans la prochaine section : Pare-feu
Unité Systemd
Pour paramétrer le pare-feu d'iptables au démarrage, installez
l'unité iptables.service
fournie
dans le paquet blfs-systemd-units-20160602.
make install-iptables
Contenu
Programmes installés:
ip6tables, ip6tables-restore,
ip6tables-save, iptables, iptables-restore, iptables-save,
iptables-xml, nfsynproxy (facultatif) et xtables-multi
Bibliothèques installées:
libip4tc.so, libip6tc.so, libipq.so,
libiptc.so et libxtables.so
Répertoires installés:
/lib/xtables et
/usr/include/libiptc
Descriptions courtes
iptables
|
est utilisé pour paramétrer, maintenir et inspecter les
tables de règles de filtrage de paquets IP du noyau
Linux.
|
iptables-restore
|
est utilisé pour restaurer des tables IP à partir de
données spécifiées sur STDIN. Utilise la redirection E/S
fournie par votre shell pour lire un fichier.
|
iptables-save
|
est utilisé pour envoyer le contenu d'une table IP dans
un format facilement analysable vers STDOUT. Utilisez la
redirection E/S fournie par votre shell pour écrire dans
un fichier.
|
iptables-xml
|
est utilisé pour convertir la sortie de iptables-save au format
XML. L'utilisation de la feuille de style iptables.xslt convertit le fond XML au
format iptables-restore.
|
ip6tables*
|
sont un ensemble de commandes pour IPV6 qui sont
similaires aux commandes iptables vu précédemment.
|
nfsynproxy
|
(facultatif) outil de configuration. La cible synproxy
facilite la manipulation des grands afflux de SYN sans
les lourdes pertes de performance imposées par le suivi
des connexions dans de tels cas.
|
xtables-multi
|
est un binaire qui se comporte en fonction du nom par
lequel il est appelé.
|
Last updated on 2016-09-01 05:11:41 +0200