Discussion :

[Nightfall]

Bonjour,

J'essaie de comprendre les bases d'iptables. Voici mon fichier iptables écrit par l'outil de configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

J'aurais 2 questions :

- Que veulent dire les lignes qui commencent par ":" ?
- Pourquoi le web, les clients mail et ftp fonctionnent alors qu'il y a aucune référence aux ports 80, 20, 21 et 110 dans mon fichier ?

Merci d'avance pour les explications

[ovh]

Oula attention ! Ce fichier n'est pas un script iptables ! Ce sont des lignes de configuration d'un script qui va lui-même générer un fichier correct, ne te base donc pas là-dessus. D'autant plus que c'est dangereux puisqu'il mixe des lignes de commandes iptables avec des lignes de commandes qui sont propres à l'outil ce qui amène la confusion...

Essaie plutôt de construire ton firewall avec Firewall Builder un outil graphique réputé dans ce domaine et compatible avec plusieurs types de firewalls (iptables mais aussi ipf, pf, cisco).

[denisys]

Si tu veux vraiment comprendre iptables je pense que tu devrai commencer par ici
http://lea-linux.org/reseau/secu/iptables.html
et de continuer par là
http://www.amazon.fr/exec/obidos/ASI...851424-1868138

Firewall builder est un interface graphique . A mon avis si l’on veut bien comprendre iptables , il est souhaitable de rester proche des commande standard , celles que l’on effectue dans une bonne vielle fenêtre terminal .

[Nightfall]

Oula attention ! Ce fichier n'est pas un script iptables ! Ce sont des lignes de configuration d'un script qui va lui-même générer un fichier correct,

Ah ok, merci

Il me reste donc à trouver où est le script et où est le fichier iptables généré pour comprendre quels sont les ports ouverts.

J'avais déjà lu l'article de Lea-linux, et celui-là aussi :
http://olivieraj.free.fr/fr/linux/in...all/index.html

Firewall builder est un interface graphique . A mon avis si l’on veut bien comprendre iptables , il est souhaitable de rester proche des commande standard , celles que l’on effectue dans une bonne vielle fenêtre terminal

Oui c'est aussi ce que je préfère, c'est le meilleur moyen apprendre.

[Nightfall]

Bon alors le fichier dont j'ai posté le contenu est bien le fichier utilisé par iptables puisqu'après avoir tapé en ligne de commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
iptables -F INPUT
iptables -F RH-Firewall-1-INPUT
iptables -F FORWARD
service iptables save

Le contenu de mon fichier devient :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
# Generated by iptables-save v1.2.11 on Wed May 11 00:50:03 2005
*filter
:INPUT ACCEPT [5176:4596420]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [10079:4321093]
:RH-Firewall-1-INPUT - [0:0]
COMMIT

Et ces lignes qui commencent par ":" sont les comportements par défaut. Par exemple, un iptables -P OUTPUT DROP en ligne de commande est traduit dans le fichier en :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

:OUTPUT DROP [91:58052]