IPTables - appliquer les règles au reboot (parefeu netfilter)

Les règles iptables sont détruites à chaque reboot, il y a cette petite méthode qui permet l'inverse !
Le tout est d'enregistrer les commandes dans un fichier exécutable qui sera lancer automatiquement au reboot, situé dans /etc/init.d

Création du fichier contenant nos règles :

nano /etc/init.d/perso-iptables

#!/bin/bash
/sbin/iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE
/sbin/iptables -A INPUT -s X.X.X.X -p TCP -j DROP
/sbin/iptables -A OUTPUT -d X.X.X.X -p TCP -j DROP
/sbin/iptables -I INPUT -s X.X.X.X -p icmp -j DROP
exit 0

On ferme nano, en enregistrant le fichier.
Rendre le fichier exécutable par :
chmod +x perso-iptables

Mise à jour des scritps de démarrage :
update-rc.d perso-iptables defaults
(quoique je sais pas si c'est vraiment nécessaire, ma foi...)

Vérification :

Commande pour voir les règles iptables actuellement active sur le système :
iptables -L

On tente en exécutant direct le script :
cd /etc/init.d
./perso-iptables

On peut vérifier que la machine a bien gober nos règles avec le iptables -L
Petite vérif à faire aussi après un reboot, histoire d'être sûr !

Perso je teste en bloquant le ping depuis ma machine perso vers le serveur, et si c'est ok les requêtes devraient s'interrompre dès le script exécuté. Eviter les autres commandes, on risquerait ne plus avoir accès au serveur, haha!

Options :

  • si on a un openvpn qui tourne, et qu'on veut filer l'accès au web à nos clients vpn, rediriger tout le trafic, ici les clients coté vpn est 172.16.10.x, eth0 est notre interface connectée au web
    /sbin/iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE
  • ici les paquets TCP arrivant et en direction de X.X.X.X sont lancés dans le warp, Dropped !

/sbin/iptables -A INPUT -s X.X.X.X -p TCP -j DROP
/sbin/iptables -A OUTPUT -d X.X.X.X -p TCP -j DROP

  • les requetes ICMP envoyées depuis l'hôte X.X.X.X, donc "ping" partent dans le vent
    /sbin/iptables -I INPUT -s X.X.X.X -p icmp -j DROP
IPTables - appliquer les règles au reboot (parefeu netfilter)

Liens useful :

iptables (oops, netfilter !) http://www.netfilter.org/
https://wiki.debian.org/iptables
http://www.inetdoc.net/guides/iptables-tutorial/
autre méthode :
http://xmodulo.com/how-to-run-iptables-automatically-after.html

Created by • Last edit by on 26.04.16 11:59

IPTables - appliquer les règles au reboot (parefeu netfilter)

  1. Wiki - Tutos - Notes ( MinosHome | MH8 )
  2. Linux
  3. Debian (et autres...)
  4. IPTables - appliquer les règles au reboot (parefeu netfilter)

Aucun commentaire pour le moment


Formulaire en cours de chargement...