Les règles iptables sont détruites à chaque reboot, il y a cette petite méthode qui permet l'inverse !
Le tout est d'enregistrer les commandes dans un fichier exécutable qui sera lancer automatiquement au reboot, situé dans /etc/init.d
Création du fichier contenant nos règles :
nano /etc/init.d/perso-iptables
#!/bin/bash
/sbin/iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE
/sbin/iptables -A INPUT -s X.X.X.X -p TCP -j DROP
/sbin/iptables -A OUTPUT -d X.X.X.X -p TCP -j DROP
/sbin/iptables -I INPUT -s X.X.X.X -p icmp -j DROP
exit 0
On ferme nano, en enregistrant le fichier.
Rendre le fichier exécutable par :
chmod +x perso-iptables
Mise à jour des scritps de démarrage :
update-rc.d perso-iptables defaults
(quoique je sais pas si c'est vraiment nécessaire, ma foi...)
Vérification :
Commande pour voir les règles iptables actuellement active sur le système :
iptables -L
On tente en exécutant direct le script :
cd /etc/init.d
./perso-iptables
On peut vérifier que la machine a bien gober nos règles avec le iptables -L
Petite vérif à faire aussi après un reboot, histoire d'être sûr !
Perso je teste en bloquant le ping depuis ma machine perso vers le serveur, et si c'est ok les requêtes devraient s'interrompre dès le script exécuté. Eviter les autres commandes, on risquerait ne plus avoir accès au serveur, haha!
Options :
- si on a un openvpn qui tourne, et qu'on veut filer l'accès au web à nos clients vpn, rediriger tout le trafic, ici les clients coté vpn est 172.16.10.x, eth0 est notre interface connectée au web
/sbin/iptables -t nat -A POSTROUTING -s 172.16.10.0/24 -o eth0 -j MASQUERADE
- ici les paquets TCP arrivant et en direction de X.X.X.X sont lancés dans le warp, Dropped !
/sbin/iptables -A INPUT -s X.X.X.X -p TCP -j DROP
/sbin/iptables -A OUTPUT -d X.X.X.X -p TCP -j DROP
- les requetes ICMP envoyées depuis l'hôte X.X.X.X, donc "ping" partent dans le vent
/sbin/iptables -I INPUT -s X.X.X.X -p icmp -j DROP
Liens useful :
iptables (oops, netfilter !) http://www.netfilter.org/
https://wiki.debian.org/iptables
http://www.inetdoc.net/guides/iptables-tutorial/
autre méthode :
http://xmodulo.com/how-to-run-iptables-automatically-after.html
IPTables - appliquer les règles au reboot (parefeu netfilter)
- Wiki - Tutos - Notes ( MinosHome | MH8 )
- Linux
- Debian (et autres...)
- IPTables - appliquer les règles au reboot (parefeu netfilter)