<!-- $Header: /var/www/viewcvs.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/articles/linux-24-stateful-fw-design.xml,v 1.5 2005/10/09 17:13:23 rane Exp $ -->

<!-- $Header:

/var/www/viewcvs.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/articles/linux-24-

stateful-fw-design.xml,v 1.5 2005/10/09 17:13:23 rane Exp $ -->

<guide link="/doc/en/articles/linux-24-stateful-fw-design.xml" disclaimer="articles">

<guide link="/doc/en/articles/linux-24-stateful-fw-design.xml"

<title>Linux 2.4 stateful firewall design</title>

disclaimer="articles">

<title>Firewall stateful sous Linux 2.4</title>

<author title="Author">

<author title="Auteur">

This tutorial shows you how to use netfilter to set up a powerful Linux stateful

Ce guide va vous apprendre à batir un puissant firewall stateful en utilisant

firewall.

NetFilter sous Linux.

<!-- The original version of this article was published on IBM developerWorks,

<!-- La version originale de ce document a été rendu publique sur IBM

and is property of Westtech Information Services. This document is an updated

developerWorks, et est la propriété de Westtech Information Services. Ce

version of the original article, and contains various improvements made by the

document est une version mise à jour de l'original, et contient plusieurs

Gentoo Linux Documentation team -->

améliorations apportées par l'équipe de Documentation de Gentoo Linux -->

<title>About this tutorial</title>

<title>A propos de ce guide</title>

<title>Should I take this tutorial?</title>

<title>A qui s'adresse ce guide ?</title>

This tutorial shows you how to use netfilter to set up a powerful Linux stateful

Ce guide vous montre comment utiliser NetFilter pour configurer un puissant

firewall. All you need is an existing Linux system that's currently using a

firewall stateful. Tout ce dont vous aurez besoin est d'un système Linux

Linux 2.4 kernel. A laptop, workstation, router or server with a Linux 2.4

existant utilisant une version 2.4 ou supérieure du noyau Linux. Un portable, PC

kernel will do.

de bureau, routeur ou serveur avec un Linux 2.4 ou plus fera l'affaire.

You should be reasonably familiar with standard network terminology like IP

Vous devez être assez familier avec le vocabulaire réseau, comme les adresses

addresses, source and destination port numbers, TCP, UDP and ICMP, etc. By the

IP, les ports source et destination, TCP, UDP ou ICMP, etc. Après avoir suivi

end of the tutorial, you'll understand how Linux stateful firewalls are put

ce guide jusqu'au bout, vous aurez compris le fonctionnement d'un firewall

together and you'll have several example configurations to use in your own

stateful sous Linux. De nombreux exemples de configurations vous seront

projects.

également exposés.

<title>About the author</title>

<title>A propos de l'auteur</title>

For technical questions about the content of this tutorial, contact the author,

Pour toute question technique sur le contenu de ce guide, contactez l'auteur,

Daniel Robbins, at <mail link="drobbins@gentoo.org">drobbins@gentoo.org</mail>.

Daniel Robbins, à l'adresse suivante: <mail link="drobbins@gentoo.org">

drobbins@gentoo.org</mail>.

Residing in Albuquerque, New Mexico, Daniel Robbins was the President/CEO of

Résidant à Albuquerque, dans le Nouveau Mexique, Daniel Robbins a été le PDG de

Gentoo Technologies, Inc., the creator of Gentoo Linux, an advanced Linux for

Gentoo Technologies, Inc., le créateur de Gentoo Linux, un système

the PC, and the Portage system, a next-generation ports system for Linux. He has

d'exploitation Linux moderne pour PC, et du système Portage, un gestionnaire de

also served as a contributing author for the Macmillan books Caldera OpenLinux

ports nouvelle génération pour Linux. Il a également été un des auteurs

Unleashed, SuSE Linux Unleashed, and Samba Unleashed. Daniel has been involved

contributeurs pour les livres Caldera OpenLinux Unleashed, SuSE Linux Unleashed,

with computers in some fashion since the second grade, when he was first exposed

et Samba Unleashed, parus aux éditions Macmillan. Daniel a été au contact de

to the Logo programming language as well as a potentially dangerous dose of Pac

l'informatique depuis l'école élémentaire, quand il fut confronté au langage de

Man. This probably explains why he has since served as a Lead Graphic Artist at

programmation Logo, ainsi qu'à une dose potentiellement dangereuse de Pac Man.

SONY Electronic Publishing/Psygnosis. Daniel enjoys spending time with his wife,

Celà explique sans doute pourquoi il a depuis été employé en tant que Chef

Mary, and his new baby daughter, Hadassah.

Infographiste chez SONY Electronic Publishing/Psygnosis. Daniel aime passer son

temps libre avec sa femme, Mary, et sa fille, Hadassah.

<title>First steps</title>

<title>Premières étapes</title>

<title>Defining our goal</title>

<title>Le but du jeu</title>

In this tutorial, we're going to put together a Linux stateful firewall. Our

Dans ce guide, nous allons bâtir un firewall stateful Linux. Notre firewall va

firewall is going to run on a Linux laptop, workstation, server, or router; its

s'exécuter sur un ordinateur portable, de bureau, serveur ou routeur sous Linux;

primary goal is to allow only certain types of network traffic to pass through.

son but principal est d'autoriser seulement certains types de traffic réseau à

To increase security, we're going to configure the firewall to drop or reject

le traverser. Pour augmenter la sécurité, nous allons configurer le firewall

traffic that we're not interested in, as well as traffic that could pose a

pour ignorer ou rejeter le traffic qui ne nous interesse pas, ainsi que le

security threat.

traffic potentiellement dangereux pour la sécurité.

<title>Getting the tools</title>

<title>Les outils nécessaires</title>

Before we start designing a firewall, we need to do two things. First, we need

Avant de commencer à bâtir le firewall, il faut faire deux choses. Tout d'abord,

to make sure that the <c>iptables</c> command is available. As root, type

il faut s'assurer que la commande <c>iptables</c> est disponible sur la machine.

<c>iptables</c> and see if it exists. If it doesn't, then we'll need to get it

Pour celà, en tant que super-utilisateur, tapez <c>iptables</c> et vérifiez ce

installed first. Here's how we do that:

que vous répond le shell. Si la commande n'existe pas, alors il nous faut

l'installer. Voilà comment faire :

<pre caption="Installing necessary tools">

<pre caption="Installation de iptables">

<title>Kernel configuration</title>

<title>Configuration du noyau</title>

Once installed, you should have an <c>iptables</c> command available for use, as

Une fois installée, vous devez avoir une commande <c>iptables</c> disponible,

well as the handy iptables man page (<c>man iptables</c>). Great; now all we

ainsi que la page de manuel qui lui correspond (<c>man iptables</c>). Bien;

need is to make sure that we have the necessary functionality built into the

maintenant il faut nous assurer que les fonctionnalités nécessaires sont bien

kernel. This tutorial assumes that you compile your own kernels. Head over to

activées dans le noyau. Ce guide suppose que vous compilez vos propres noyaux.

<path>/usr/src/linux</path>, and type <c>make menuconfig</c> or <c>make

Dans le répertoire <path>/usr/src/linux</path>, tapez <c>make menuconfig</c> ou

xconfig</c>; we're going to enable some kernel network functionality.

<c>make xconfig</c>; nous allons choisir certaines fonctionnalités pour notre

noyau.

Under the "Networking options" section, make sure that you enable at least the

 Dans la section "Networking options" (dans le menu "Networking->Networking

following options:

Options" pour le noyau 2.6), assurez-vous d'activer au moins les options

suivantes:

<pre caption="Necessary kernel options">

<pre caption="Fonctionnalités noyaux nécessaires">

Then, under the "IP: Netfilter Configuration ->" menu, enable every option so

Ensuite, dans le menu "IP: Netfilter Configuration ->", activez toutes les

that we'll have full netfilter functionality. We won't use all the netfilter

options, afin d'avoir toutes les fonctionnalités NetFilter disponibles pour

features, but it's good to enable them so that you can do some experimentation

votre firewall. Nous n'aurons pas besoin de toutes, mais vous pourrez ainsi plus

later on.

tard mener quelques expériences avec ces options.

There's one networking option under the "Networking options" category that you

Il y a une fonctionnalité dans la section "Networking options" que vous ne

<e>shouldn't</e> enable: explicit congestion notification. Leave this option

<e>devriez pas</e> activer: la notification explicite de congestion. Laissez

disabled:

cette option décochée.

<pre caption="Option we have to disable">

<pre caption="L'option à désactiver">

If this option is enabled, your Linux machine won't be able to carry on network

Si cette option est activée, votre machine Linux ne sera pas capable de

communications with 8% of the Internet. When ECN is enabled, some packets that

supporter des communications réseau avec environ 8% de l'Internet. Quand l'ECN

your Linux box sends out will have the ECN bit set; however, this bit freaks out

est activée, certains paquets envoyés par votre machine Linux auront le bit ECN

a number of Internet routers, so it's very important that ECN is disabled.

valué à 1. En pratique, ce bit engendre des comportements bizarres sur certains

routeurs Internet, aussi vaut-il mieux garder l'ECN désactivée.

OK, now that the kernel's configured correctly for our needs, compile a new one,

Maintenant que le noyau est configuré correctement, compilez-le, installez-le et

install it, and reboot. Time to start playing with netfilter :)

rebootez. Nous pouvons maintenant nous amuser avec NetFilter :)

<title>Firewall design basics</title>

<title>Premiers pas</title>

In putting together our firewall, the <c>iptables</c> command is our friend.

Pour construire un firewall, la commande <c>iptables</c> sera votre meilleure

It's what we use to interact with the network packet filtering rules in the

alliée. Elle permet d'interagir avec les règles de filtrage de paquets au niveau

kernel.  We'll use the <c>iptables</c> command to create new rules, list

du noyau. Nous utiliserons la commande <c>iptables</c> pour créer de nouvelles

existing rules, flush rules, and set default packet handling policies. This

règles, afficher les règles existantes, en supprimer, et choisir la politique de

means that to create our firewall, we're going to enter a series of iptables

filtrage par défaut. Ce qui signifie que la création d'un firewall se résume à

commands, and here's the first one we're going to take a look at (please don't

entrer une série de commandes iptables, comme par exemple (ATTENTION, ne pas la

type this in just yet!)...

taper tout de suite !)

<pre caption="Changing chain policy to DROP">

<pre caption="Choisir la politique par défaut DROP">

You're looking at an almost "perfect" firewall. If you type in this command,

Si vous voulez créer un firewall "quasiment" parfait, et que vous entrez cette

you'll be incredibly well protected against any form of incoming malicious

commande, vous serez absolument bien protégé contre toutes formes d'attaques

attack. That's because this command tells the kernel to drop all incoming

malicieuses. En effet, cette commande ordonne au noyau d'ignorer tous les

network packets. While this firewall is extremely secure, it's a bit silly. But

paquets réseau entrants. Cependant, même si ce firewall est extrêmement

before moving on, let's take a look at exactly how this command does what it

sécurisé, il est également un peu mauvais. Mais avant de continuer, essayons de

does.

comprendre comment cette commande peut faire ce qu'elle fait.

<title>Setting chain policy</title>

<title>Modifier la politique par défaut</title>

An <c>iptables -P</c> command is used to set the default policy for a chain of

La commande <c>iptables -P</c> est utilisée pour selectionner la politique par

packet filtering rules. In this example, <c>iptables -P</c> is used to set the

défaut pour une chaine de filtrage de paquets. Dans cet exemple, <c>iptables

default policy for the INPUT chain, a built-in chain of rules that's applied to

-P</c> est utilisée pour changer la politique par défaut de la chaine INPUT, une

every incoming packet. By setting the default policy to DROP, we tell the kernel

chaine préinstallée qui est appliquée à chaque paquet entrant. En sélectionnant

that any packets that reach the end of the INPUT rule chain should be dropped

la potique par défaut DROP, on indique au noyau que chaque paquet qui atteint la

(that is, discarded). And, since we haven't added any rules to the INPUT chain,

fin de la chaine INPUT doit être droppé (c'est à dire ignoré, supprimé de la

all packets reach the end of the chain, and all packets are dropped.

mémoire). Et comme nous n'avons pas encore ajouté de règles dans la chaine

INPUT, tous les paquets atteignent la fin de la chaine, et donc tous les paquets

sont ignorés.

Again, by itself this command is totally useless. However, it demonstrates a

Encore une fois, à elle seule, cette commande est totalement inutile. Cependant,

good strategy for firewall design. We'll start by dropping all packets by

elle montre une bonne stratégie pour la construction d'un firewall. On commence

default, and then gradually start opening up our firewall so that it meets our

par ignorer tous les paquets par défaut, puis on ouvre au fur et à mesure les

needs. This will ensure that our firewall is as secure as possible.

ports dont on a besoin. Celà garantit que le firewall est aussi sécurisé que

possible.

<title>Defining rules</title>

<title>Definir ses règles</title>

<title>A (small) improvement</title>

<title>Une (petite) amélioration</title>

In this example, let's assume that we're designing a firewall for a machine with

Dans cet exemple, nous supposerons que nous construisons un firewall pour une

two network interfaces, eth0 and eth1. The eth0 network card is connected to our

machine avec deux interfaces réseau, nommées eth0 et eth1. L'interface eth0 est

LAN, while the eth1 network card is attached to our DSL router, our connection

connectée sur notre LAN, tandis que eth1 est branchée sur notre routeur DSL, qui

to the Internet. For such a situation, we could improve our "ultimate firewall"

mène vers Internet. Dans une telle situation, nous améliorerons notre "firewall

by adding one more line:

ultime" en rajoutant une ligne:

<pre caption="Improving our ultimate firewall">

<pre caption="Améliorons notre firewall ultime">

This additional <c>iptables -A</c> line adds a new packet filtering rule to the

Cette ligne supplémentaire <c>iptables -A</c> ajoute une nouvelle règle de

end of our INPUT chain. After this rule is added, our INPUT chain consists of a

filtrage de paquets à la fin de la chaine INPUT. Après avoir rajouté cette

single rule and a drop-by-default policy. Now, let's take a look at what our

règle, la chaine INPUT consiste en une règle unique et une règle DROP par

semi-complete firewall does.

défaut. Maintenant, voyons ce que fait notre firewall désormais à moitié

terminé.

<title>Following the INPUT chain</title>

<title>Le long de la chaine INPUT...</title>

When a packet comes in on any interface (lo, eth0, or eth1), the netfilter code

Quand un paquet arrive sur l'une des interfaces (lo, eth0, ou eth1), le code de

directs it to the INPUT chain and checks to see if the packet matches the first

NetFilter l'envoie sur la chaine INPUT et vérifie s'il correspond à la première

rule. If it does, the packet is accepted, and no further processing is

règle. Si c'est le cas, est accepté, et le traitement de ce paquet est terminé.

performed. If not, the INPUT chain's default policy is enforced, and the packet

Sinon, la règle par défaut de INPUT est appliquée, et le paquet est effacé

is discarded (dropped).

(DROP).

That's the conceptual overview. Specifically, our first rule matches all packets

Voilà pour le point de vue conceptuel. Plus concrétement, la première règle

coming in from eth0 and lo, immediately allowing them in. Any packets coming in

correspond à tous les paquets arrivant sur les interfaces eth0 et lo, et les

from eth1 are dropped. So, if we enable this firewall on our machine, it'll be

laisse passer. Tous les paquets arrivant sur l'interface eth1 sont droppés.

able to interact with our LAN but be effectively disconnected from the Internet.

Donc, si nous activons ce firewall sur notre machine, il pourra intéragir avec

Let's look at a couple of ways to enable Internet traffic.

notre LAN mais ne pourra pas communiquer avec Internet. Voyons comment autoriser

le traffic Internet, et ce de deux manières différentes.

<title>Traditional firewalls</title>

<title>Firewalls traditionnels</title>

Obviously, for our firewall to be useful, we need to selectively allow some

Evidemment, pour que notre firewall serve à quelque chose, il nous faut

incoming packets to reach our machine via the Internet. There are two approaches

sélectionner quels paquets seront autorisés à atteindre notre machine en passant

to opening up our firewall to the point where it is useful: one uses static

par Internet. Il y a deux approches pour faire celà: l'une utilise des règles

rules, and the other uses dynamic, stateful rules.

statiques, tandis que l'autre utilise des règles dynamiques, avec suivi d'état

(stateful).

Let's take downloading Web pages as an example. If we want our machine to be

Prenons pour exemple le cas du téléchargement de pages Web. Si nous voulons que

able to download Web pages from the Internet, we can add a static rule that will

notre machine soit capable de recevoir les paquets correspondants au

always be true for every incoming http packet, regardless of origin:

téléchargement, nous pouvons ajouter une règle statique qui sera toujours vraie

pour les paquets HTTP entrants, quelle que soit leur origine:

<pre caption="Accepting all the incoming http packets">

<pre caption="Acceptons tous les paquets HTTP entrants">

Since all standard Web traffic originates from a source port of 80, this rule

Comme tout le traffic Web standard provient d'un serveur avec port source 80,

effectively allows our machine to download Web pages. However, this traditional

cette règle permet effectivement à votre machine de télécharger des pages Web.

approach, while marginally acceptable, suffers from a bunch of problems.

Cependant, cette approche traditionnelle, bien qu'acceptable dans certains cas,

engendre de nombreux problèmes.

<title>Traditional firewall bummers</title>

<title>Problèmes des firewalls traditionnels</title>

Here's a problem: while most Web traffic originates from port 80, some doesn't.

Voilà le premier problème: bien que la plupart du traffic Web a pour origine un

So, while this rule would work most of the time, there would be rare instances

port 80, ce n'est quelquefois pas vrai. Donc, cette règle marche, mais seulement

where this rule wouldn't work. For example, maybe you've seen a URL that looks

la plupart du temps. Par exemple, vous avez peut-être déjà vu une URL du genre

like this: "http://www.foo.com:81". This example URL points to a Web

"http://www.foo.com:81". Cette URL pointe vers un serveur Web hébergé sur un

site on port 81 rather than the default port 80, and would be unviewable from

serveur écoutant sur le port 81 plutôt que le port 80 par défaut, et est donc

behind our current firewall. Taking into account all these special cases can

invisualisable derrière notre firewall. Prendre en compte toutes les exceptions

quickly turn a fairly secure firewall into swiss cheese and quickly fill our

de ce genre va vite faire de notre firewall sécurisé un sac de noeuds et

INPUT chain with a bunch of rules to handle the occasional oddball Web site.

remplira notre chaine INPUT avec un tas de règles pour gérer chaque cas

particulier.

However, the major problem with this rule is security related. Sure, it's true

Cependant, le problème majeur de ce genre de règle est lié à la sécurité.

that only traffic with a source port of 80 will be allowed through our firewall.

Evidemment, il est vrai que seulement le traffic avec un port source 80 sera

But the source port of a packet is not something that we have any control over,

autorisé à passer notre firewall. Mais le port source d'un paquet est un élément

and it can be easily altered by an intruder. For example, if an intruder knew

facilement manipulable par un attaquant. Par exemple, si un intrus connait la

how our firewall were designed, he could bypass our firewall by simply making

façon dont notre firewall est conçu, il peut le contourner simplement en

sure that all his incoming connections originated from port 80 on one of his

s'assurant que toutes ses connexions entrantes viennent d'un port 80 de l'une de

machines! Because this static firewall rule is so easy to exploit, a more secure

ses machines ! Puisque cette règle statique est trop facile à contourner, il

dynamic approach is needed. Thankfully, iptables and kernel 2.4 provide

nous faut une approche plus sécurisée et dynamique. Heureusement, iptables et le

everything we need to enable dynamic, stateful filtering.

noyau 2.4 et supérieurs incluent tout ce dont nous avons besoin pour construire

un firewall dynamique et à suivi d'états.

<title>Stateful firewalls</title>

<title>Firewalls stateful</title>

<title>State basics</title>

<title>Quelques mots sur les états</title>

Rather than opening up holes in our firewall based on static protocol

Plutôt que de creuser des trous dans notre firewall en se basant sur des

characteristics, we can use Linux's new connection tracking functionality to

caractéristiques statiques des protocoles, on peut utiliser les nouvelles

make firewall decisions based on the dynamic connection state of packets.

fonctionnalités de suivi de connexion de Linux pour baser les décisions du

Conntrack works by associating every packet with an individual bidirectional

firewall sur l'état dynamique des paquets par rapport à la connexion. Conntrack

communications channel, or connection.

fonctionne en associant chaque paquet avec une et une seule communication

bidirectionnelle, ou connexion.

For example, consider what happens when you use telnet or ssh to connect to a

Par exemple, imaginons ce qui se passe lorsque vous utilisez telnet ou ssh pour

remote machine. If you view your network traffic at the packet level, all you

vous connecter sur une machine distante. Si vous regarder le traffic réseau au

see is a bunch of packets zipping from one machine to another. However, at a

niveau paquets, tout ce que vous verez sera un tas de paquets passant d'une

higher level, this exchange of packets is actually a bidirectional

machine sur l'autre. Cependant, à un niveau d'abstraction plus élevé, cette

communications channel between your local machine and a remote machine.

échange de paquets est en fait une communication bidirectionelle entre votre

Traditional (old-fashioned) firewalls only look at the individual packets, not

machine locale et la machine distante. Les firewalls traditionnels ne font que

recognizing that they're actually part of a larger whole, a connection.

regarder chaque paquet indépendemment les uns des autres, sans se soucier qu'ils

fassent en réalité partie d'un tout, d'une connexion.

<title>Inside conntrack</title>

<title>Conntrack en détails</title>

That's where connection tracking technology comes in. Linux's conntrack

C'est là que la technologie de suivi de connexion entre en jeu. La

functionality can "see" the higher-level connections that are taking place,

fonctionnalité conntrack de Linux peut "voir" les connexions de haut niveau

recognizing your ssh session as a single logical entity. Conntrack can even

lorsqu'elles ont lieu, reconnaissant votre session SSH comme une seule entité

recognize UDP and ICMP packet exchanges as logical "connections", even though

logique. Conntrack peut aussi reconnaître les échanges de paquets UDP et ICMP

UDP and ICMP are connectionless in nature; this is very helpful because it

comme des "connexions" logiques, même si UDP et ICMP sont sans connexion par

allows us to use conntrack to handle ICMP and UDP packet exchanges.

nature; celà est très utile puisque sela permet d'utiliser conntrack pour gérer

des échanges de paquets ICMP et UDP.

If you've already rebooted and are using your new netfilter-enabled kernel, you

Si vous avez déjà redémarré avec votre nouveau noyau avec NetFilter activé, vous

can view a list of active network connections that your machine is participating

pouvez voir une liste des connexions réseau actives auquelles votre machine

in by typing <c>cat /proc/net/ip_conntrack</c>. Even with no firewall

participe en entrant <c>cat /proc/net/ip_conntrack</c>. Même sans firewall

configured, Linux's conntrack functionality is working behind the scenes,

configuré, conntrack fonctionne en arrière-plan, en gardant trace des connexions

keeping track of the connections that your machine is participating in.

établies ou reçues par votre machine.

<title>The NEW connection state</title>

<title>Etat de connexion NEW</title>

Conntrack doesn't just recognize connections, it also classifies every packet

Conntrack ne fait pas que reconnaitre les connexions, il classe également chaque

that it sees into one of four connection states. The first state that we're

paquet qu'il voit dans l'un des quatres états de connexion. Le premier état dont

going to talk about is called NEW. When you type <c>ssh remote.host.com</c>, the

nous allons parler est appelé NEW (nouveau). Quand vous tapez <c>ssh

initial packet or burst of packets that originate from your machine and are

hote.distant.com</c>, le premier paquet ou la première rafale de paquets qui

destined for remote.host.com are in the NEW state. However, as soon as you

sortent de votre machine et sont destinés à hote.distant.com sont dans l'état

receive even just a single reply packet from remote.host.com, any further

NEW. Cependant, dès que vous aurez reçu ne serait-ce qu'un seul paquet de

packets you send to remote.host.com as part of this connection aren't considered

hote.distant.com, tous les futurs paquets que vous enverrez à hote.distant.com

NEW packets anymore. So, a packet is only considered NEW when it's involved in

dans cette connexion ne seront plus considérés comme des packets NEW. Pour

establishing a new connection, and no traffic has yet been received from the

résumer, un paquet est considéré NEW lorsqu'il sert à établir une nouvelle

remote host (as part of this particular connection, of course).

connexion, et qu'aucun trafic n'a été reçu de l'hôte distant en retour (dans le

cadre de cette connexion précise, évidemment).

I've described outgoing NEW packets, but it's also very possible (and common) to

J'ai décris les paquets NEW sortants, mais il est également tout à fait possible

have incoming NEW packets. Incoming NEW packets generally originate from a

(et normal) d'avoir des paquets NEW entrants. Les paquets NEW entrants viennent

remote machine, and are involved in initiating a connection with you. The

généralement d'une machine distante, et servent à établir une connexion avec

initial packet(s) your Web server receives as part of a HTTP request would be

vous. Le(s) premier(s) paquet(s) que votre serveur Web reçoit pour une requête

considered incoming NEW packets; however, once you reply to just a single

HTTP sont considérés comme des paquets NEW entrants; cependant, une fois que

incoming NEW packet, any additional packets you receive that are related to this

vous aurez répondu à un seul de ces paquets, tous les autres paquets que vous

particular connection are no longer in the NEW state.

recevrez ne seront plus considérés dans l'état NEW.

<title>The ESTABLISHED state</title>

<title>Etat de connexion ESTABLISHED</title>

Once a connection has seen traffic in both directions, additional packets

Une fois qu'une connexion a vue du trafic dans les deux sens, tous les nouveaux

relating to this connection are considered to be in an ESTABLISHED state. The

paquets de cette connexion sont considérés dans l'état ESTABLISHED (établi). La

distinction between NEW and ESTABLISHED is an important one, as we'll see in a

distinction entre les états NEW et ESTABLISHED est très importante, comme nous

minute.

le verrons dans un instant.

<title>The RELATED state</title>

<title>Etat de connexion RELATED</title>

The third connection state category is called RELATED. RELATED packets are those

Le troisième état de connexion est appelé RELATED (en rapport avec). Les paquets

that are starting a new connection, but are related to another currently

RELATED sont ceux qui établissent une nouvelle connexion, mais qui sont en

existing connection. The RELATED state can be used to regulate connections that

rapport avec une connexion déjà existante. L'état RELATED peut être utilisé pour

are part of a multi-connection protocol, such as ftp, as well as error packets

filtrer des connexions qui font partie d'un protocole multi-connexion, comme

related to existing connections (such as ICMP error packets related to an

FTP, ainsi que les paquets d'erreur en rapport avec des connexions existantes

existing connection).

(comme les paquets d'erreur ICMP).

<title>The INVALID state</title>

<title>Etat de connexion INVALID</title>

Finally, there are INVALID packets: those that can't be classified into one of

Pour terminer, il existe aussi les paquets INVALID: ce sont ceux qui ne peuvent

the above three categories. It's important to note that if a packet is

être classés dans aucune des trois précédentes catégories. Il est important de

considered INVALID, it isn't automatically discarded; it's still up to you to

noter qu'un paquet considéré comme INVALID n'est pas automatiquement ignoré;

insert the appropriate rules and set chain policy so that they're handled

c'est à vous de choisir les règles appropriées et d'ajuster les politiques pour

correctly.

que ces paquets soient gérés de la manière que vous préférez.

<title>Adding a stateful rule</title>

<title>Ajout d'une règle stateful</title>

OK, now that we have a good understanding of connection tracking, it's time to

Bien, maintenant que nous avons compris le suivi de connexion, il est temps de

take a look at a single additional rule that transforms our non-functional

jeter un oeil à une simple règle supplémentaire qui va transformer notre

firewall into something quite useful:

firewall non-fonctionnel en quelque chose de plutôt utile.

<pre caption="Adding a stateful rule">

<pre caption="Ajout d'une règle stateful">

<title>How the rule works</title>

<title>Fonctionnement de cette règle</title>

This single rule, when inserted at the end of our existing INPUT chain, will

Cette simple règle, insérée à la fin de votre chaine INPUT existante, va nous

allow us to establish connections with remote machines. It works as follows.

permettre d'établir des connexions avec des machines distantes. Elle fonctionne

Let's say we want to ssh over to remote.host.com. After typing <c>ssh

comme ceci: disons que l'on veuille faire du ssh vers hote.distant.com. Après

remote.host.com</c>, our machine sends out a packet to initiate the connection.

avoir lancé <c>ssh hote.distant.com</c>, notre machine envoie un paquet pour

This particular packet is in the NEW state, and our firewall allows it out,

établir la connexion. Ce paquet particulier est dans l'état NEW, et notre

because we're only blocking packets coming in to our firewall, not going out.

firewall le laisse passer, puisque nous bloquons seulement les paquets qui

entrent dans notre firewall, pas qui en sortent.

When we get a reply packet from remote.host.com, this packet trickles through

Quand nous recevons une réponse de hote.distant.com, ce paquet passe par notre

our INPUT chain. It doesn't match our first rule (since it comes in on eth1), so

chaine INPUT. Il ne correspond pas à la première règle (puisqu'il arrive de

it moves on to our next, and final rule. If it matches this rule, it will be

eth1), donc il passe à la seconde et dernière règle. Si il correspond à cette

accepted, and if it doesn't, it will fall off the end of the INPUT chain and the

règle, il sera accepté, et sinon, il arrivera à la fin de la chaine INPUT et la

default policy will be applied to the packet (DROP). So, is this incoming reply

politique par défaut lui sera appliquée (DROP). Alors, ce paquet entrant

packet accepted or dropped on the floor?

sera-t'il accepté ou droppé ?

Answer: accepted. When the kernel inspects this incoming packet, it first

Réponse: accepté. Quand le noyau examine ce paquet entrant, il reconnait en

recognizes that it's part of an already existing connection. Then, the kernel

premier qu'il fait partie d'une connexion existante. Ensuite, le noyau doit

needs to decide whether this is a NEW or ESTABLISHED packet. Since this is an

décider s'il s'agit d'un paquet NEW ou ESTABLISHED. Puisqu'il s'agit d'un paquet

incoming packet, it checks to see if this connection has had any outgoing

entrant, il vérifie si cette connexion a déjà eu du trafic sortant, et trouve

traffic, and finds that it has (our initial NEW packet that we sent out).

que c'est le cas (le paquet NEW initial que nous avons envoyé). Ensuite, le

Therefore, this incoming packet is categorized as ESTABLISHED, as are any

paquet entrant est classé ESTABLISHED, comme le seront tous les futurs paquets

further packets we receive or send that are associated with this connection.

reçus ou envoyés qui seront associés avec cette connexion.

<title>Incoming NEW packets</title>

<title>Paquets NEW entrants</title>

Now, let's consider what happens if someone on a remote machine tries to ssh in

Maintenant, considérons ce qui ce passe si quelqu'un sur une machine distante

to us. The initial packet we receive is classified as NEW, and doesn't match

essaie de se connecter en ssh chez nous. Le premier paquet que nous recevons est

rule 1, so it advances to rule 2. Because this packet isn't in an ESTABLISHED or

marqué NEW, et ne correspond pas à la règle 1, donc il passe à la règle 2.

RELATED state, it falls off the end of the INPUT chain and the default policy,

Puisque ce paquet n'est pas dans l'état ESTABLISHED ou RELATED, il arrive à la

DROP, is applied. Our incoming ssh connection request is dropped to the floor

fin de la chaine INPUT et la politique par défaut, DROP, est appliquée. Notre

without so much as a reply (or TCP reset) from us.

demande d'établissement de connexion ssh entrante est donc ignorée sans même une

réponse (ou un paquet TCP reset) de notre part.

<title>A near-perfect firewall</title>

<title>Un firewall proche de la perfection</title>

So, what kind of firewall do we have so far? An excellent one for a laptop or a

Alors, quel genre de firewall avons-nous jusqu'à présent ? Un excellent choix

workstation where you don't want anyone from the Internet connecting to you, but

pour un portable ou un poste de travail si vous voulez que personne ne puisse se

where you need to connect to sites on the Internet. You'll be able to use

connecter depuis Internet vers vous, mais avec lequel vous pouvez quand même

Netscape, konqueror, ftp, ping, perform DNS lookups, and more. Any connection

vous connecter à des sites sur Internet. Vous pourrez utiliser Netscape,

that you initiate will get back in through the firewall. However, any

Konqueror, ftp, ping, faire des recherches DNS, et bien plus. Toutes les

unsolicited connection that comes in from the Internet will be dropped, unless

connexions dont vous êtes l'initiateur pourront passer votre firewall.

it's related to an existing connection that you initiated. As long as you don't

Cependant, les connexions non sollicitées qui viennent depuis Internet seront

need to provide any network services to the outside, this is a near-perfect

ignorées, à moins d'être en relation avec une connexion existante que vous avez

firewall.

initiée. Tant que vous ne devez pas fournir un service réseau vers l'extérieur,

c'est un firewall pratiquement parfait.

<title>A basic firewall script</title>

<title>Un script de firewall simple</title>

Here's a simple script that can be used to set up/tear down our first basic

Voilà un script simple qui peut être utilisé pour configurer notre premier

workstation firewall:

firewall de station de travail:

<pre caption="A basic firewall script">

<pre caption="Un script de firewall simple">

<comment># A basic stateful firewall for a workstation or laptop that isn't running any</comment>

<comment># Un script de firewall simple pour une station de travail ou un

<comment># network services like a web server, SMTP server, ftp server, etc.</comment>

portable</comment>

<comment># qui ne fournit aucun service réseau, comme un  serveur web, ftp,

smtp, etc.</comment>

        echo "Starting firewall..."

        echo "Démarrage du firewall..."

        echo "Stopping firewall..."

        echo "Arrêt du firewall..."

<title>Using the script</title>

<title>Utilisation du script</title>

Using this script, you can bring down the firewall by typing <c>./firewall

En utilisant ce script, vous pouvez désactiver le firewall en tapant 

stop</c>, and bring it back up again by typing <c>./firewall start</c>. To bring

<c>./firewall stop</c>, et le relancer en tapant <c>./firewall start</c>. Pour

down the firewall, we flush our rules out of the INPUT chain with a <c>iptables

désactiver le firewall, on supprime les règles de la chaine INPUT en faisant 

-F INPUT</c>, and then switch the default INPUT policy back to ACCEPT with a

<c>iptables -F INPUT</c>, puis reprenons la politique par défaut de INPUT en

<c>iptables -P INPUT ACCEPT</c> command. Now, let's look at a bunch of

ACCEPT avec la commande <c>iptables -P INPUT ACCEPT</c>. Maintenant, voyons 

improvements that we can make to our existing workstation firewall. Once I've

tout un tas d'améliorations que nous pouvons faire sur notre firewall. Après

explained every improvement, I'll present a final workstation firewall script.

avoir expliqué chaque amélioration, je présenterai un script avancé pour un

Then, we'll start customizing our firewall for servers.

poste de travail. Ensuite, nous commencerons à modifier notre firewall pour des

serveurs.

<title>Stateful improvements</title>

<title>Améliorations au suivi d'états</title>

<title>Explicitly turn off ECN</title>

<title>Désactication explicite de l'ECN</title>

I mentioned earlier that it's important to turn off ECN (explicit congestion

J'ai parlé plus haut de l'importance de désactiver l'ECN (explicit congestion

notification) so that Internet communications will work properly. While you may

notification) pour que les communications Internet fonctionnent correctement.

have disabled ECN in the kernel per my suggestion, it's possible that in the

Même si vous avez désactivé l'ECN dans le noyau en suivant ma suggestion, il

future, you'll forget to do so. Or, possibly, you'll pass your firewall script

est possible que vous l'oubliez dans le futur. Ou, comme c'est possible, vous

along to someone who has ECN enabled. For these reasons, it's a good idea to use

allez paser votre script de firewall à quelqu'un qui a l'ECN activé. Pour ces

the <path>/proc</path> interface to explicitly disable ECN, as follows:

raisons, c'est une bonne idée d'utiliser l'interface <path>/proc</path> pour

désactiver explicitement l'ECN, comme ceci:

<pre caption="Explicitly turn off ECN">

<pre caption="Désactivation explicite de l'ECN">

If you're using your Linux machine as a router, then you'll want to enable IP

Si vous utilisez votre machine Linux comme un routeur, alors vous voudrez

forwarding, which will give the kernel permission to allow packets to travel

activer l'IP forwarding, ce qui donnera la permission au noyau de transmettre

between eth0 and eth1, and vice versa. In our example configuration, where eth0

des paquets de l'interface eth0 à eth1, et inversement. Dans notre exemple de

is connected to our LAN, and eth1 is connected to the Internet, enabling IP

configuration, ou eth0 est connectée à notre LAN, et eth1 à Internet, activer

forwarding is a necessary step in allowing our LAN to connect to the Internet

l'IP forwarding est une étape nécessaire pour permettre à notre LAN de se

via our Linux box. To enable IP forwarding, use this line:

connecter à Internet en passant par notre machine Linux. Pour activer l'IP

forwarding, utilisez cette ligne:

<title>Handling rejection</title>

<title>Gestion des rejets</title>

So far, we've been dropping all unsolicited traffic coming in from the Internet.

Jusqu'à présent, nous avons ignoré tout le trafic non solicité venant

While this is an effective way to deter unwanted network activity, it does have

d'Internet. Bien que celà soit un moyen efficace pour contrer l'activité réseau

some drawbacks. The biggest problem with this approach is that it's easy for an

non désirable, celà engendre également quelques inconvénients. Le plus gros

intruder to detect that we're running a firewall, since our machine isn't

problème avec cette approche est qu'il est facile pour un intrus de détecter

replying with the standard TCP reset and ICMP port-unreachable responses: the

que nous utilisons un firewall, puisque notre machine ne répond pas avec les

responses that a normal machine would send back to indicate a failed connection

réponses standards TCP reset et ICMP port-unreachable, c'est à dire les

attempt to a non-existent service.

réponses qu'une machine normale devrait renvoyer pour indiquer une tentative de

connexion échouée vers un service non existant.

Rather than let potential intruders know that we're running a firewall (and thus

Plutôt que de laisser des intrus potentiels savoir que nous utilisons un

tip them off to the fact that we may be running some valuable services that they

firewall (ce qui peut leur laisser penser que nous fournissons des services

can't get to), it would be to our advantage to make it appear as if we aren't

précieux auquels ils ne peuvent pas accéder), il serait à notre avantage de

running any services at all. By adding these two rules to the end of our INPUT

faire croire que nous n'utilisons pas de firewall. En ajoutant ces deux règles

chain, we can successfully accomplish this task:

à la fin de la chaine INPUT, on peut facilement accomplir cette tâche:

<pre caption="Handling rejection">

<pre caption="Gestion des rejets">

# <i>iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with icmp-port-unreachable</i>

# <i>iptables -A INPUT -p udp -i eth1 -j REJECT --reject-with

icmp-port-unreachable</i>

Our first rule takes care of correctly zapping TCP connections, while the second

La première règle s'occupe de rejeter correctement les connexions TCP, alors

handles UDP. With these two rules in place, it becomes very difficult for an

que la seconde s'occupe de l'UDP. Avec ces deux règles, il devient difficile

intruder to detect that we're actually running a firewall; hopefully, this will

pour un intrus de détecter que nous sommes derrière un firewall; avec de la

cause the intruder to leave our machine and search for other targets with more

chance, l'intrus se détournera de notre machine pour chercher d'autres cibles

potential for abuse.

potentiellement plus intérressantes.

In addition to making our firewall more "stealthy", these rules also eliminate

En plus de rendre notre firewall plus "discret", ces règles éliminent aussi le

the delay involved in connecting to certain ftp and irc servers. This delay is

délai lors de la connection à certains serveurs FTP et IRC. Ce délai est dû au

caused by the server performing an ident lookup to your machine (connecting to

serveur qui tente de faire une requête ident sur votre machine (en se

port 113) and eventually (after about 15 seconds) timing out. Now, our firewall

connectant sur le port 113), qui échoue après un timeout d'environ 15 secondes.

will return a TCP reset and the ident lookup will fail immediately instead of

Maintenant, notre firewall va renvoyer un TCP reset et la requête ident va

retrying for 15 seconds (while you're patiently waiting for a response from the

échouer immédiatement plutôt que de réssayer pendant 15 secondes (alors que

server).

vous attendez patiemment une réponse du serveur).

<title>Spoof protection</title>

<title>Protection contre le Spoof</title>

In many distributions, when the network interface(s) are brought up, several old

Dans plusieurs distributions, quand une interface réseau est activée, plusieurs

ipchains rules are also added to the system. These special rules were added by

vieilles règles ipchains sont également ajoutées au système. Ces règles

the creators of the distribution to deal with a problem called spoofing, in

spéciales avaient été ajoutées par les créateurs de la distribution pour

which the source address of packets have been tweaked so that they contains an

contrer un problème appelé spoofing, dans lequel les adresses sources des

invalid value (something that script kiddies do). While we can create similar

paquets ont été traffiqués pour contenir une valeur invalide (c'est une des

iptables rules that will also block spoofed packets, there's an easier way.

choses que les script kiddies font). Bien que l'on pourrait créer des règles

These days, the kernel has the built-in ability to dropped spoofed packets; all

iptables similaires pour bloquer ces paquets spoofés, il y a une manière de

we need to do is enable it via a simple <path>/proc</path> interface. Here's

faire plus facile. De nos jours, le noyau a la fonctionnalité intégrée

how.

d'ignorer les paquets spoofés; il suffit de l'activer par le biais de

l'interface <path>/proc</path>. Voilà comment.

<pre caption="Spoof protection">

<pre caption="Protection contre le spoofing">

This shell script will tell the kernel to drop any spoofed packets on interfaces

Ce script shell va indiquer au noyau d'ignorer tous les paquets spoofés sur les

lo, eth0, and eth1. You can either add these lines to your firewall script, or

interfaces lo, eth0 et eth1. Vous pouvez soit ajouter ces lignes à votre script

add them to the script that brings up your lo, eth0, and eth1 interfaces.

de firewall, soit dans le script qui active vos interfaces lo, eth0, et eth1.

NAT (network address translation) and IP masquerading, while not directly

Le NAT (network address translation) et l'IP masquerading, bien que non

related to firewalls, are often used in conjunction with them. We're going to

directement en rapport avec les firewalls, sont souvent utilisés en complément.

look at two common NAT/masquerading configurations that you may need to use.

Nous allons voir deux configurations répandues de NAT/Masquerading que vous

This first rule would take care of situations where you have a dialup link to

pourrez avoir à utiliser. La première règle servira dans les situations où vous

the Internet (ppp0) that uses a dynamic IP:

utilisez un lien non permanent vers Internet (ppp0) avec une adresse IP

dynamique.

If you're in this situation, you'll also want to convert my firewall scripts so

Si vous êtes dans cette situation, vous voudrez également convertir mes scripts

that all references to "eth1" (our example DSL router) are changed to "ppp0".

de firewall pour que les références à "eth1" (le routeur DSL dans notre

And it's perfectly fine to add firewalling rules that refer to "ppp0" when the

exemple) soient changées en "ppp0". Et il est tout à fait possible d'ajouter

ppp0 interface doesn't yet exist. As soon as ppp0 is up, everything will work

des règles qui font références à "ppp0" alors que cette interface n'existe pas

perfectly. Make sure you enable IP forwarding as well.

encore. Dès que ppp0 est activée, tout fonctionnera à merveille. Vérifiez

quannd même que vous avez activé l'IP forwarding.

If you're using DSL to connect to the Internet, you probably have one of two

Si vous utilisez une ligne DSL pour vous connecter à Internet, vous avez

possible configurations. One possibility is that your DSL router or modem has

probablement une des deux configurations suivantes. Dans la première, votre

its own IP number and performs network address translation for you. If you're in

routeur DSL ou modem a sa propre adresse IP et s'occupe de la translation

this situation, you don't need Linux to perform NAT for you since your DSL

d'adresse pour vous. Si vous êtes dans cette situation, vous n'avez pas besoin

router is taking care of it already.

de faire du NAT puisque votre routeur DSL le fait déjà.

However, if you want to have more control over your NAT functionality, you may

Cependant, si vous voulez avoir plus de contrôle sur vos fonctionnalités NAT,

want to talk to your ISP about configuring your DSL connection so that your DSL

vous pouvez eventuellement, si votre fournisseur d'accès le permet, configurer

router is in "bridged mode". In bridged mode, your firewall becomes an official

votre routeur DSL en mode "bridge" (pont). Dans ce mode, votre firewall devient

part of your ISP's network, and your DSL router transparently forwards IP

un élément officiel du réseau de votre fournisseur d'accès, et le routeur DSL

traffic back and forth between your ISP and your Linux box without letting

s'occupe de relayer le trafic de et vers votre machine Linux de manière

anyone know that it's there. It no longer has an IP number; instead, eth1 (in

transparente. Il n'a plus besoin d'une adresse IP; à la place, eth1 (dans notre

our example) sports the IP. If someone pings your IP from the Internet, they get

exemple) en a une. Si quelqu'un pingue votre adresse IP depuis Internet, il

a reply back from your Linux box, rather than your router.

recevra une réponse de votre machine Linux, et pas de votre routeur.

With this kind of setup, you'll want to use SNAT (source NAT) rather than

Avec ce genre de configuration, vous aurez à utiliser SNAT (source NAT)

masquerading. Here's the line you should add to your firewall:

plutôt que le Masquerading. Voici la ligne que vous devriez rajouter à votre

firewall:

In this example, eth1 should be changed to the ethernet interface connected

Dans cet exemple, remplacez eth1 par l'interface Ethernet connectée sur votre

directly to your DSL router, and 1.2.3.4 should be changed to your static IP

routeur DSL, ainsi que 1.2.3.4 par votre adresse IP statique (l'IP de votre

(the IP of your ethernet interface). Again, remember to enable IP forwarding.

interface Ethernet). Encore une fois, n'oubliez pas l'IP forwarding.

<title>NAT issues</title>

<title>Problèmes avec le NAT</title>

Fortunately for us, NAT and masquerading get along just fine with a firewall.

Heureusement pour nous, le NAT et le masquerading s'entendent bien sur notre

When writing your firewall filtering rules, just ignore the fact that you're

firewall. Quand vous écrivez vos règles de firewall, ignorez simplement que vous

using NAT. Your rules should accept, drop, or reject packets based on their

utilisez du NAT. Vos règles doivent accepter, ignorer ou rejeter les paquets en

"real" source and destination addresses. The firewall filtering code sees the

se basant sur leur "véritables" adresses source et destination. Le code de

original source address for a packet, and the final destination address. This is

filtrage du firewall prend en compte l'adresse source d'origine et l'adresse de

great for us, because it allows our firewall to continue working properly even

destination finale. C'est tant mieux pour nous, puisque celà permet à notre

if we temporarily disable NAT or masquerading.

firewall de fonctionner correctement même si on désactive temporairement le NAT

ou le masquerading.

<title>Understanding tables</title>

<title>Comprendre les tables</title>

In the above NAT/masquerading examples, we're appending rules to a chain, but

Dans les exemples de NAT/masquerading précédents, on a ajouté des règles à une

we're also doing something a bit different. Notice the "-t" option. The "-t"

chaine, mais nous avons également fait des choses un peu différemment. Remarquez

option allows us to specify the table that our chain belongs to. When omitted,

l'option "-t". L'option "-t" permet de choisir la table à laquelle appartient

the default table defaults to "filter". So, all our previous non-NAT related

notre chaine. Quand cette option n'est pas spécifiée, la table par défaut est la

commands were modifying the INPUT chain that's part of the "filter" table. The

table "filter". Par conséquent, toutes les commandes précédentes sans rapport

"filter" table contains all the rules associated with accepting or rejecting

avec le NAT ont modifié la chaine INPUT qui fait partie de la table "filter". La

packets, while the "nat" table (as you would assume) contains rules relating to

table "filter" contient toutes les règles associées à l'acceptation/rejet de

network address translation. There are also other built-in iptables chains and

paquets, tandis que la table "nat" (comme vous pouvez le deviner) contient les

they are described in detail in the iptables man page, as well as in Rusty's

règles concernant la translation d'adresse. Il existe d'autres chaines iptables

HOWTOs (see the <uri link="#resources">Resources</uri> section at the end of

qui sont décrites en détail dans la page de manuel iptables, ainsi que dans les

this tutorial for links).

HOWTO de Rusty Russel (cf. dans la section <uri link="#ressources">Ressources

</uri> plus bas pour les liens).

<title>Our enhanced script</title>

<title>Notre script amélioré</title>

Now that we've taken a look at a bunch of possible enhancements, it's time to

Maintenant que nous avons vu tout un tas d'améliorations possibles, il est temps

take a look at a second more flexible firewall up/down script:

de voir un second script plus souple d'activation/désactivation du firewall:

<pre caption="Our enhanced script">

<pre caption="Notre script amélioré">

<comment># An enhanced stateful firewall for a workstation, laptop or router that isn't</comment>

<comment># Un firewall statefull amélioré pour une station de travail, portable

<comment># running any network services like a web server, SMTP server, ftp server, etc.</comment>

ou routeur</comment>

<comment># qui ne fourni aucun service réseau (comme serveur web, smtp, ftp,

<comment># Change this to the name of the interface that provides your "uplink"</comment>

etc.)</comment>

<comment># (connection to the Internet)</comment>

<comment># Changez cette variable pour le nom de l'interface qui sert d'"uplink"

</comment>

<comment># (connexion à Internet)</comment>

<comment># If you're a router (and thus should forward IP packets between interfaces),</comment>

<comment># Si vous êtes un routeur, (et donc souhaitez forwarder les paquets IP

<comment># you want ROUTER="yes"; otherwise, ROUTER="no"</comment>

entre les interfaces),</comment>

<comment># mettez ROUTER="yes"; sinon, ROUTER="no"</comment>

<comment># Change this next line to the static IP of your uplink interface for static SNAT, or</comment>

<comment># Changez la prochaine ligne pour mettre l'adresse IP statique de votre

<comment># "dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to</comment>

interface

<comment># disable it.</comment>

<comment># uplink pour faire du SNAT statique, ou "dynamic" si vous avez une IP

dynamique</comment>

<comment># Si vous n'avez pas besoin de NAT, laissez NAT="" pour le désactiver.

</comment>

<comment># Change this next line so it lists all your network interfaces, including lo</comment>

<comment># Changez cette variable pour lister toutes vos interfaces réseau, y

compris lo</comment>

        echo "Starting firewall..."

        echo "Demarrage du firewall..."

        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable

        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with

icmp-port-unreachable

        <comment># Explicitly disable ECN</comment>

        <comment># Desactivation explicite de l'ECN</comment>

        <comment># Disable spoofing on all interfaces</comment>

        <comment># Désactiver le spoofing sur toutes les interfaces</comment>

                <comment># We're a router of some kind, enable IP forwarding</comment>

                <comment># Activation de l'IP forwarding pour le routage

</comment>

                        <comment># Dynamic IP address, use masquerading</comment>

                        <comment># Adresse IP dynamique, utilisation du

                        echo "Enabling masquerading (dynamic ip)..."

masquerading</comment>

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE

                        echo "Activation du masquerading (IP dynamique)..."

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j

MASQUERADE

                        <comment># Static IP, use SNAT</comment>

                        <comment># IP statique, utilisation du SNAT</comment>

                        echo "Enabling SNAT (static ip)..."

                        echo "Activation SNAT (IP statique)..."

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to

${UPIP}

        echo "Stopping firewall..."

        echo "Arret du firewall..."

        <comment># Turn off NAT/masquerading, if any</comment>

        <comment># Désactive le NAT/masquerading</comment>

<title>Stateful servers</title>

<title>Servers statefuls</title>

<title>Viewing rules</title>

<title>Voir ses règles</title>

Before we start making customizations to our firewall so that it can be used on

Avant de commencer à modifier notre firewall pour pouvoir l'utiliser sur un

a server, I need to show you how to list your currently active firewall rules.

serveur, je dois vous montrer comment afficher les règles actives sur votre

To view the rules in the filter table's INPUT chain, type:

firewall. Pour voir les règles dans la chaine INPUT de la table filter, tapez:

<pre caption="Viewing rules">

<pre caption="Voir les règles">

The -v option gives us a verbose output, so that we can see the total packets

L'option -v nous donne une sortie verbeuse, afin que l'on puisse voir le nombre

and bytes transferred per rule. We can also look at our nat POSTROUTING table

total de paquets et d'octets transférés par règle. On peut aussi voir la chaine

with the following command:

POSTROUTING de la table nat avec la commande suivante:

<pre caption="Viewing POSTROUTING table rules">

<pre caption="Voir les règles de la chaine POSTROUTING de la table nat">

<title>Getting ready for service</title>

<title>Prêts pour le service</title>

Right now, our firewall doesn't allow the general public to connect to services

A l'heure actuelle, notre firewall ne permet pas au "public" de se connecter aux

on our machine because it only accepts incoming ESTABLISHED or RELATED packets.

services sur notre machine car il accepte seulement les paquets entrants dans

Because it drops any incoming NEW packets, any connection attempt is rejected

l'état ESTABLISHED ou RELATED. Comme il ignore tous les paquets NEW entrants,

unconditionally. However, by selectively allowing some incoming traffic to cross

toutes les tentatives de connexion sont systématiquement rejetées. Cependant, en

our firewall, we can allow the general public to connect to the services that we

autorisant sélectivement certains paquets à traverser notre firewall, on peut

specify.

permettre au "public" de se connecter aux services que nous voudrons.

<title>Stateful HTTP</title>

<title>HTTP stateful</title>

While we want to accept some incoming connections, we probably don't want to

Bien que l'on veuille accepter quelques connexions entrantes, on ne souhaite

accept every kind of incoming connection. It makes sense to start with a "deny

tout de même pas les accepter toutes. Il est préférable de partir d'une

by default" policy (as we have now) and begin opening up access to those

politique "rejet par défaut" (comme nous l'avons configuré actuellement) et

services that we'd like people to be able to connect to. For example, if we're

d'ouvrir l'accès aux seuls services que l'on souhaite rendre publics. Par

running a Web server, we'll allow NEW packets into our machine, as long as they

exemple, si nous avons un serveur Web, nous allons autoriser les paquets NEW

are headed for port 80 (HTTP). That's all we need to do. Once we allow the NEW

vers notre machine, mais seulement s'ils sont destinés au port 80 (HTTP). C'est

packets in, we've allowed a connection to be established. Once the connection is

tout ce qu'il suffit de faire. Dès que nous autorisons le paquet NEW à passer,

established, our existing rule allowing incoming ESTABLISHED and RELATED packets

on autorise l'établissement de connexion. Une fois la connexion établie, la

kicks in, allowing the HTTP connection to proceed unhindered.

règle existante qui autorise les paquets entrants ESTABLISHED et RELATED entre

en scène, laissant se dérouler la connexion HTTP sans accrocs.

<title>Stateful HTTP example</title>

<title>Exemple d'HTTP stateful</title>

Let's take a look at the "heart" of our firewall and the new rule that allows

Jetons un oeil au "coeur" de notre firewall et à la nouvelle règle qui autorise

incoming HTTP connections:

les connexion HTTP entrantes:

<pre caption="Stateful HTTP example">

<pre caption="Exemple d'HTTP stateful">

<comment># Our new rule follows</comment>

<comment># Notre nouvelle règle</comment>

This new rule allows incoming NEW TCP packets destined for our machine's port 80

Cette nouvelle règle autorise les paquets TCP NEW entrants destinés au port

(http) to come in. Notice the placement of this rule. It's important that it

80 (HTTP) de notre machine à entrer. Remarquez la place de cette règle. Il est

appears before our REJECT rules. Since iptables will apply the first matching

important qu'elle soit placée avant notre règle REJECT. Comme iptables applique

rule, putting it after our REJECT lines would cause this rule to have no effect.

seulement la première règle qui correspond, la mettre derrière les lignes REJECT

engendrerai qu'elle n'ai aucun effet.

<title>Our final firewall script</title>

<title>Notre script de firewall avancé</title>

Now, let's take a look at our final firewall script, one that can be used on a

Maintenant, voyons notre dernier script de firewall, qui peut être utilisé

laptop, workstation, router, or server (or some combination thereof!).

sur un portable, station de travail, routeur ou serveur (ou une quelconque

combinaison !)

<pre caption="Our final firewall script">

<pre caption="Notre script de firewall avancé">

<comment># Our complete stateful firewall script.  This firewall can be customized for</comment>

<comment># Notre script de firewall complement stateful. Ce firewall peut

<comment># a laptop, workstation, router or even a server. :)</comment>

être adapté</comment>

<comment># pour un portable, station de travail, routeur ou même un serveur. :)

</comment>

<comment># Change this to the name of the interface that provides your "uplink"</comment>

<comment># Changez cette variable pour le no de l'interface "uplink"</comment>

<comment># (connection to the Internet)</comment>

<comment># (connexion vers Internet)</comment>

<comment># If you're a router (and thus should forward IP packets between interfaces),</comment>

<comment># Si vous êtes routeur (et donc souhaitez forwarder les paquets IP

<comment># you want ROUTER="yes"; otherwise, ROUTER="no"</comment>

entre les</comment>

<comment># interfaces), mettez ROUTER="yes"; sinon, ROUTER="no"</comment>

<comment># Change this next line to the static IP of your uplink interface for static SNAT, or</comment>

<comment># Changez la prochaine ligne vers l'adresse IP statique de votre

<comment># "dynamic" if you have a dynamic IP.  If you don't need any NAT, set NAT to "" to</comment>

interface</comment>

<comment># disable it.</comment>

<comment># uplink pour du SNAT statique, ou "dynamic" si vous avez une IP

dynamique.</comment>

<comment># Si vous ne voulez pas de NAT, mettez NAT="" pour le désactiver.

</comment>

<comment># Change this next line so it lists all your network interfaces, including lo</comment>

<comment># Changez cette ligne pour lister toutes vos interfaces réseaux, y

compris lo</comment>

<comment># Change this line so that it lists the assigned numbers or symbolic names (from</comment>

<comment># Changez cette ligne pour lister les numéros de ports ou noms

<comment># /etc/services) of all the services that you'd like to provide to the general</comment>

symboliques</comment>

<comment># public. If you don't want any services enabled, set it to ""</comment>

<comment># (de /etc/services) de tous les services que vous souhaiter rendre

publics.</comment>

<comment># Si vous ne souhaitez publiez aucun service, laissez ""</comment>

        echo "Starting firewall..."

        echo "Démarrage du firewall..."

        <comment># Enable public access to certain services</comment>

        <comment># Activer l'accès publics aux services</comment>

                iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT

                iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j

ACCEPT

        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable

        iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with

icmp-port-unreachable

        <comment># Explicitly disable ECN</comment>

        <comment># Désactivation explicite de l'ECN</comment>

        <comment># Disable spoofing on all interfaces</comment>

        <comment># Protection anti-spoofing</comment>

                <comment># We're a router of some kind, enable IP forwarding</comment>

                <comment># Activation de l'IP forwarding</comment>

                <comment># Dynamic IP address, use masquerading</comment>

                <comment># IP dynamique => masquerading</comment>

                echo "Enabling masquerading (dynamic ip)..."

                echo "Activation du masquerading (ip dynamique)..."

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j

MASQUERADE

                        <comment># Static IP, use SNAT</comment>

                        <comment># IP statique => SNAT</comment>

                        echo "Enabling SNAT (static ip)..."

                        echo "Activation du SNAT (ip statique)..."

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}

                        iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to

${UPIP}

        echo "Stopping firewall..."

        echo "Arrêt du firewall..."

        <comment># Turn off NAT/masquerading, if any</comment>

        <comment># Arrêt du masquerading</comment>

<title>Building a better server firewall</title>

<title>Construire un meilleur firewall pour serveur</title>

<title>Server improvements</title>

<title>Améliorations</title>

It's often possible to make a firewall just an eensy bit "better". Of course,

Il est souvent possible de rendre son firewall toujours un peu "mieux". Bien

what "better" means depends on your specific needs. Our existing script could

sûr, la signification de "mieux" dépend de vos besoins spécifiques. Notre script

meet yours exactly, or maybe some additional tweaking is in order. This section

existant peu combler exactement les vôtres, ou peut-être que quelques retouches

is intended to serve as a cookbook of ideas, demonstrating ways to enhance your

seront nécessaires. Cette section est sensée servir de livre à idées, pour vous

existing stateful firewall.

montrer plusieurs moyens d'améliorer notre firewall stateful existant.