Iptables-1.6.0

Introduction à Iptables

La partie suivante de ce chapitre traite des pare-feux. L'outil principal de pare-feu pour Linux est iptables. Vous devrez installer iptables si vous souhaitez utiliser une forme de pare-feu.

This package is known to build and work properly using an LFS-7.10 platform.

Informations sur le paquet

Dépendances de Iptables

Facultatives

nftables

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/iptables

Configuration du noyau

Sur Linux, on a un pare-feu via une portion du noyau qui s'appelle netfilter. L'interface avec netfilter est iptables. Pour l'utiliser, les paramètres adéquats de configuration du noyau sont trouvés dans :

[*] Networking support  --->                                    [CONFIG_NET]
      Networking Options  --->
        [*] Network packet filtering framework (Netfilter) ---> [CONFIG_NETFILTER]

Installation de Iptables

[Note]

Note

L'installation ci-dessous n'inclut pas la construction de quelques bibliothèques d'extension spécialisées qui exigent les en-têtes raw dans le code source de Linux. Si vous souhaitez construire des extensions supplémentaires (si vous n'êtes pas sûr, vous n'en avez probablement pas besoin), vous pouvez regarder le fichier INSTALL pour voir un exemple de la façon de modifier le paramètre KERNEL_DIR= pour pointer vers le code source de Linux. Remarquez que si vous mettez à jour la version du noyau, il se peut que vous deviez aussi recompiler iptables et que l'équipe BLFS n'a pas testé l'utilisation des en-têtes du noyau raw.

Pour certaines architectures non x86, il se peut qu'il faille les en-têtes du noyau raw. Dans ce cas, modifiez le paramètre KERNEL_DIR= pour pointer vers le code source de Linux.

Installez Iptables en lançant les commandes suivantes :

./configure --prefix=/usr      \
            --sbindir=/sbin    \
            --disable-nftables \
            --enable-libipq    \
            --with-xtlibdir=/lib/xtables &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root :

make install &&
ln -sfv ../../sbin/xtables-multi /usr/bin/iptables-xml &&

for file in ip4tc ip6tc ipq iptc xtables
do
  mv -v /usr/lib/lib${file}.so.* /lib &&
  ln -sfv ../../lib/$(readlink /usr/lib/lib${file}.so) /usr/lib/lib${file}.so
done

Explication des commandes

--disable-nftables : Ce paramètre désactive la construction de la compatibilité nftables. Supprimez-le si vous avez installé nftables.

--enable-libipq : Ce paramètre active la construction de libipq.so qui peut être utilisé par certains paquets extérieurs à BLFS.

--with-xtlibdir=/lib/xtables : Assure que les modules d'Iptables sont installés dans le répertoire /lib/xtables.

--enable-nfsynproxy : Ce paramètre active l'installation de l'outil de configuration SYNPROXY de nfsynproxy.

ln -sfv ../../sbin/xtables-multi /usr/bin/iptables-xml : Assure que le lien symbolique de iptables-xml est relatif.

Configuration d'Iptables

Des instructions d'introduction de configuration de votre pare-feu sont présentées dans la prochaine section : Pare-feu

Unité Systemd

Pour paramétrer le pare-feu d'iptables au démarrage, installez l'unité iptables.service fournie dans le paquet blfs-systemd-units-20160602.

make install-iptables

Contenu

Programmes installés: ip6tables, ip6tables-restore, ip6tables-save, iptables, iptables-restore, iptables-save, iptables-xml, nfsynproxy (facultatif) et xtables-multi
Bibliothèques installées: libip4tc.so, libip6tc.so, libipq.so, libiptc.so et libxtables.so
Répertoires installés: /lib/xtables et /usr/include/libiptc

Descriptions courtes

iptables

est utilisé pour paramétrer, maintenir et inspecter les tables de règles de filtrage de paquets IP du noyau Linux.

iptables-restore

est utilisé pour restaurer des tables IP à partir de données spécifiées sur STDIN. Utilise la redirection E/S fournie par votre shell pour lire un fichier.

iptables-save

est utilisé pour envoyer le contenu d'une table IP dans un format facilement analysable vers STDOUT. Utilisez la redirection E/S fournie par votre shell pour écrire dans un fichier.

iptables-xml

est utilisé pour convertir la sortie de iptables-save au format XML. L'utilisation de la feuille de style iptables.xslt convertit le fond XML au format iptables-restore.

ip6tables*

sont un ensemble de commandes pour IPV6 qui sont similaires aux commandes iptables vu précédemment.

nfsynproxy

(facultatif) outil de configuration. La cible synproxy facilite la manipulation des grands afflux de SYN sans les lourdes pertes de performance imposées par le suivi des connexions dans de tels cas.

xtables-multi

est un binaire qui se comporte en fonction du nom par lequel il est appelé.

Last updated on 2016-09-01 05:11:41 +0200