Au-delà de Linux^® From Scratch (édition systemd) - Version 9.1

Chapitre 4. Sécurité

Précédent
Haveged-1.9.2
Suivant
Paramétrer un pare-feu réseau
Niveau supérieur
Sommaire

iptables-1.8.4

Introduction à iptables

iptables est un programme en ligne de commande et en espace utilisateur utilisé pour configurer l'ensemble de règles de filtrage de paquets des noyaux Linux 2.4 et supérieurs.

Ce paquet est connu pour se construire correctement sur une plateforme LFS-9.1.

Informations sur le paquet

Téléchargement (HTTP) : http://www.netfilter.org/projects/iptables/files/iptables-1.8.4.tar.bz2
Téléchargement (FTP) : ftp://ftp.netfilter.org/pub/iptables/iptables-1.8.4.tar.bz2
Somme de contrôle MD5 du téléchargement : 9b201107957fbf62709c3d8226239b0d
Taille du téléchargement : 688 Ko
Estimation de l'espace disque requis : 17 Mo
Estimation du temps de construction : 0.2 SBU

Dépendances de iptables

Facultatives

libpcap-1.9.1 (requis pour la prise en charge de nfsypproxy), bpf-utils (requis pour la prise en charge de Berkely Packet Filter), libnfnetlink (requis pour la prise en charge de connlabel), et libnetfilter_conntrack" (requis pour la prise en charge de connlabel)

Notes utilisateur : http://wiki.linuxfromscratch.org/blfs/wiki/iptables

Configuration du noyau

Sur Linux, on a un pare-feu via l'interface netfilter. Pour utiliser iptables pour configurer netfilter, les paramètres du noyau suivants sont requis :

[*] Networking support  --->                                          [CONFIG_NET]
      Networking Options  --->
        [*] Network packet filtering framework (Netfilter) --->       [CONFIG_NETFILTER]
          [*] Advanced netfilter configuration                        [CONFIG_NETFILTER_ADVANCED]
          Core Netfilter Configuration --->
            <*/M> Netfilter connection tracking support               [CONFIG_NF_CONNTRACK]
            <*/M> Netfilter Xtables support (required for ip_tables)  [CONFIG_NETFILTER_XTABLES]
            <*/M> LOG target support                                  [CONFIG_NETFILTER_XT_TARGET_LOG]
          IP: Netfilter Configuration --->
            <*/M> IP tables support (required for filtering/masq/NAT) [CONFIG_IP_NF_IPTABLES]

Ajoutez tous les protocoles de suivi de connexion que vous utiliserez, ainsi que tous les protocoles que vous voulez utiliser pour la prise en charge de leur détection dans la section « Core Netfilter Configuration ».

Installation de iptables

[Note]

Note

L'installation ci-dessous n'inclut pas la construction de quelques bibliothèques d'extension spécialisées qui exigent les en-têtes raw dans le code source de Linux. Si vous souhaitez construire des extensions supplémentaires (si vous n'êtes pas sûr, vous n'en avez probablement pas besoin), vous pouvez regarder le fichier INSTALL pour voir un exemple de la façon de modifier le paramètre KERNEL_DIR= pour pointer vers le code source de Linux. Remarquez que si vous mettez à jour la version du noyau, il se peut que vous deviez aussi recompiler iptables et que l'équipe BLFS n'a pas testé l'utilisation des en-têtes du noyau raw.

Installez iptables en lançant les commandes suivantes :

./configure --prefix=/usr      \
            --sbindir=/sbin    \
            --disable-nftables \
            --enable-libipq    \
            --with-xtlibdir=/lib/xtables &&
make

Ce paquet n'est pas fourni avec une suite de tests.

Maintenant, en tant qu'utilisateur root :

make install &&
ln -sfv ../../sbin/xtables-legacy-multi /usr/bin/iptables-xml &&

for file in ip4tc ip6tc ipq xtables
do
  mv -v /usr/lib/lib${file}.so.* /lib &&
  ln -sfv ../../lib/$(readlink /usr/lib/lib${file}.so) /usr/lib/lib${file}.so
done

Explication des commandes

--disable-nftables : Ce paramètre désactive la construction de la compatibilité nftables.

--enable-libipq : Ce paramètre active la construction de libipq.so qui peut être utilisé par certains paquets extérieurs à BLFS.

--with-xtlibdir=/lib/xtables : s'assure que tous les modules d'Iptables sont installés dans le répertoire /lib/xtables.

--enable-nfsynproxy : Ce paramètre active l'installation de l'outil de configuration SYNPROXY de nfsynproxy.

ln -sfv ../../sbin/xtables-legacy-multi /usr/bin/iptables-xml : Assure que le lien symbolique de iptables-xml est relatif.

Contenu

Programmes installés: ip6tables, ip6tables-restore, ip6tables-save, iptables, iptables-restore, iptables-save, iptables-xml, nfsynproxy (facultatif) et xtables-multi

Bibliothèques installées: libip4tc.so, libip6tc.so, libipq.so, libiptc.so et libxtables.so

Répertoires installés: /lib/xtables et /usr/include/libiptc

Descriptions courtes

iptables	est utilisé pour paramétrer, maintenir et inspecter les tables de règles de filtrage de paquets IP du noyau Linux.
iptables-restore	est utilisé pour restaurer des tables IP à partir de données spécifiées sur STDIN. Utilise la redirection E/S fournie par votre shell pour lire un fichier.
iptables-save	est utilisé pour envoyer le contenu d'une table IP dans un format facilement analysable vers STDOUT. Utilisez la redirection E/S fournie par votre shell pour écrire dans un fichier.
iptables-xml	est utilisé pour convertir la sortie de iptables-save au format XML. L'utilisation de la feuille de style `iptables.xslt` convertit le fond XML au format iptables-restore.
ip6tables*	sont un ensemble de commandes pour IPV6 qui sont similaires aux commandes iptables vu précédemment.
nfsynproxy	(facultatif) outil de configuration. La cible synproxy facilite la manipulation des grands afflux de SYN sans les lourdes pertes de performance imposées par le suivi des connexions dans de tels cas.
xtables-multi	est un binaire qui se comporte en fonction du nom par lequel il est appelé.

Last updated on 2020-02-26 17:20:10 +0100

Précédent
Haveged-1.9.2
Suivant
Paramétrer un pare-feu réseau
Niveau supérieur
Sommaire