Créer et installer un firewall sous Linux Debian ou Ubuntu

Un firewall (pare-feu) est un programme qui sécurise un serveur en filtrant les accès réseau effectués depuis et vers l’extérieur. Un moyen efficace de créer un firewall est de restreindre l’accès aux ports utilisés par les programmes du serveur.

Cet article décrit comment créer et installer un firewall sous Linux Debian ou Ubuntu en utilisant iptables.

Prérequis

  • Se connecter en tant que root.

Créer un firewall

Afin de ne pas perdre la connexion SSH avec le serveur, vérifiez que le port indiqué dans le fichier /etc/ssh/sshd_config est identique au port utilisé dans le firewall.

nano /root/firewall.v4

#!/bin/sh

# Initialisation des tables
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorisation des connexions locales
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# Autorisation du protocole ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

# Autorisation des requêtes DNS sur le port 53
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

# Autorisation du protocole NTP sur le port 123
iptables -A OUTPUT -p udp --dport 123 -j ACCEPT

# Autorisation du protocole SSH sur le port 22
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT

# Autorisation du protocole HTTP sur le port 80
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

# Autorisation du protocole HTTPS sur le port 443
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

# Autorisation du protocole SMTP sur le port 25
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT

chmod 744 /root/firewall.v4

La commande /root/firewall.v4 active le firewall. Voir les paragraphes suivants pour charger le firewall au démarrage du serveur.

La version IPv6 du firewall se crée en utilisant le fichier /root/firewall.v6 au lieu de /root/firewall.v4, la commande ip6tables au lieu de iptables et le protocole icmpv6 au lieu de icmp.

Charger le firewall au démarrage du serveur

apt-get install iptables-persistent
/root/firewall.v4
iptables-save > /etc/iptables/rules.v4

La version IPv6 du firewall se charge au démarrage du serveur en utilisant le fichier /root/firewall.v6 au lieu du fichier /root/firewall.v4, la commande ip6tables-save au lieu de iptables-save et le fichier /etc/iptables/rules.v6 au lieu du fichier /etc/iptables/rules.v4.

» Sauvegarder un serveur sous Linux Debian ou Ubuntu

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*