IpTables : Partage de connexion Internet
Pré-requis
L'avantage d'un système d'exploitation ouvert, tel que DEBIAN GNU/Linux, est de pouvoir fonctionner avec moins de puissance machine tout en offrant autant, voire plus, de qualité intrinséque !
Ainsi, pour un ordinateur qui n'offrirai que LE service de passerelle, firewalling, vous pouvez vous satisfaire d'une architecture à base de i486.
Même si plus d'un, vous recommenderez de partir sur i586, dénommé aussi Pentium de première génération ! Essayez de mettre un maximum de mémoire RAM que vous pourrez...
Pour le système d'exploitation, vous pouvez choisir l'excellent Debian GNU/Linux, mentionné précédement... voici les docs nécessaires à l'installation, et la référence pour maîtriser celui-ci !
Bien qu'une fois le sytème installé, vous pouvez user d'IpTables directement - voire man iptables et les informations suivantes -
Je fais partie de ceux qui recommande FORTEMENT de passer par les phases suivantes :
- => télécharger le dernier kernel pour le compiler selon la configuration matérielle de votre ordinateur !
- => télécharger l'ultime version d'IpTables et le POM - patch-o-matic - correspondant !
- => sans oublier de sécuriser un minimum, son kernel avec des patchs tels Grsecurity ou LIDS
- => et, perso, j'ajouterai ULOGD qui permet d'avoir des logs distincts de ceux du Kernel, avec ce que cela procure comme avantage !
A savoir que GRsecurity fournit aussi un patch pour IpTables !
Vous avez fait TOUT CELA ?!? ... C'est bien !
Vous êtes un valheureux Linuxien, et certainement défenseur du Libre, et un tant soit peu conscient de sécurité ! ;) - vous me plaisez bien ; contactez-moi qu'on discute ensemble de tout cela : linux_a_stephane_-_huc_._net
Exemple de script de partage de connexion Internet
Maintenant, voyons quelques scripts :
Script de Démarrage
Vous pouvez lire directement le fichier 'fw' et le téléchargez si vous voulez !
Voir aussi, le script originel fait par Arnaud de Bermingham ! - qui fontionne sur RedHat -
Script FireWall(ant)
Vous pouvez lire directement le fichier 'firewall.sh' et le téléchargez si vous voulez !
Il vous est possible d'utiliser juste ce script en le paramétrant en tant que run-level.Voir la section 'Gestion de niveaux de services', ci-dessous...
Script de Purge
Vous pouvez lire directement le fichier 'zeroipt.sh' et le téléchargez si vous voulez !
Pour finir...
De droits
Vouz devez faire passer chacun de ces 3 scripts suivants par ca :
chown root:root /nom_du_rep/nom_du_script
chmod 750 /nom_du_rep/nom_du_script
CA aussi c'est SECURE ! - enfin, un petit peu ; car seul 'root' a le droit de...
Gestion des niveaux de services
Les informations de ce chapitre sont à lier avec le script firewallant de cette page.
Notre Debian, bien aimée, nous permet d'interfacer le script firewallant avec les niveaux de démarrage et d'arrêt des services du système, les fameux run-levels.
Après avoir copier le script firewallant dans le répertoire /etc/init.d, et lui avoir donner les droits adéquats :
chown root:root /etc/init.d/firewall_srvr et chmod 0755 /etc/init.d/firewall_srvr, passons à la gestion des niveaux de services correspondants.
La commande est : update-rc.d firewall_srvr start 13 2 3 4 5 . stop 99 0 1 6 .
Cela permet aussi système de le démarrer dans les niveaux 2, 3, 4 et 5 et de l'arrêter dans les niveaux 0, 1 et 6.
et donc de fonctionner quand le systéme est allum´ et de s'arrêter proprement à l'arrêt de celui-ci.
Si vous voulez supprimez de tous les services, faites : update-rc.d firewall_srvr remove ; pour le reste, lisez le man correspondant.
Références
Je tiens encore à remercier Arnaud de Bermingham, et, Olivier Allard-Jacquin sans qui je ne me serais jamais lancé dans l'aventure
et sans quoi, je n'aurais certainement jamais écrit ces scripts...
Il est clair que je me suis profondément inspiré de ses connaissances, à bon escient, vous dis-je !
Pour les 'Script FireWall(ant)' et 'Script de Purge', je me suis inspiré du travail - excellent - d'Olivier Allard-Jacquin
'Netfilter_cfg' && 'iptables-extrem-drop.sh' - j'ai rajouté dans le mien les règles anti-spoofing et anti-ping
Pagination
<<| Page : IpTables : ppp : |>>