Script netfilter
Yvan VANHULLEBUSCe document explique brièvement l'utilisation d'un script de filtrage pour Linux/Netfilter. La dernière version de ce document est disponible ici.
Dans la suite de ce document, il est supposé que le lecteur possède les compétences de base de l'adminustration système sous Unux (et plus particulièrement sous GNU/Linux), qu'il a des notions en réseaux TCP/IP [1].
Ces scripts sont basés sur le méchanisme de filtrage Netfilter, disponible avec les versions 2.4.x du noyau Linux. Certaines fonctionnalités (optionnelles) peuvent cependant éventuellement n'être activables qu'à partir de certaines versions. Cela sera alors spécifié à l'endroit approprié.
Ces scripts font appel à la commande iptables(8). Dans la plupart des cas, la version fournie avec votre distribution devrait suffir. Si certaines fonctionnalités nécessitent une version spécifique, cela sera précisé à l'endroit approprié.
Le noyau doit être configuré avec le support de Netfilter (CONFIG_NETFILTER) et des options (CONFIG_IP_NF_*) utilisées activé. Il est recommandé d'inclure directement ces fonctionnalités dans le noyau, auquel cas vous pourrez effacer (ou simplement rendre non-exécutable) le fichier modules.sh de ce script de filtrage.
Décompressez l'archive dans un endroit approprié (/etc par exemple). Celle-ci crée son propre répertoire filter.
Editez iptables.sh et ajustez BASEDIR en fonction du répertoire où se trouvent les scripts (/etc/filter par défaut).
La configuration su fait par le fichier filter.conf. Le fichier d'exemple filter.conf.sample peut servir de base pour configurer le firewall.
La mise en place des règles de filtrage se fait en exécutant le script iptables.sh. Ce script ne prend pas d'arguments dans ce cas.
Ces scripts sont prévus pour un ordinateur connecté à Internet, qui assure éventuellement quelques services publics, et qui partage éventuellement son accès internet à un réseau local.
Jamais. Ca n'est pas l'objectif de ce jeu de scripts, dont la configuration deviendrait trop compliquée.
Je suis Yvan VANHULLEBUS, ingénieur R&D en sécurité informatique chez Netasq, constructeur de boitiers Firewall. Pour plus d'infos, consultez mon CV.
A priori, non, bien que certaines offres "professionelles" soient d'une qualité plus que douteuse...
Les explications détaillées se trouvent ici.
| [1] | Cela n'est pas formellement indispensable pour utiliser les scripts, mais très fortement recommandé pour comprendre leur fonctionnement et/ou pour ajuster la configuration). |