Introduction
La mise en place d'un pare-feu est une étape importante dans la sécurisation de la plupart des systèmes d'exploitation modernes. La plupart des distributions Linux sont équipées de différents outils de pare-feu que nous pouvons utiliser pour configurer notre pare-feu et iptables en fait partie. Alors que la plupart des articles vous apprendront comment configurer des règles de pare-feu à l'aide d'iptables, cet article se concentrera sur la façon de les supprimer ou de les vider.
Remarque : Ce tutoriel couvre la sécurité IPv4. Sous Linux, la sécurité IPv6 est maintenue séparément d'IPv4. Par exemple, "iptables" ne gère que les règles de pare-feu pour les adresses IPv4, mais il a un équivalent IPv6 appelé "ip6tables", qui peut être utilisé pour maintenir les règles de pare-feu pour les adresses réseau IPv6.
Prérequis
Avant de suivre ce guide, vous devez avoir accès au compte superutilisateur non root, avec les privilèges sudo configurés sur votre serveur. Si vous avez besoin de configurer votre serveur, nous avons un guide approprié
- Configuration initiale du serveur avec Ubuntu 14.04
Liste des règles iptables
Avant de débusquer les règles iptables, nous devons vérifier les règles actuelles qui sont appliquées à notre pare-feu. Nous pouvons le faire en utilisant les commandes ci-dessous,
# sudo iptables -L
Chain INPUT (policy ACCEPT)target prot opt source destination Chain FORWARD (policy ACCEPT)target prot opt source destination Chain OUTPUT (policy ACCEPT)target prot opt sourceNous pouvons également voir les règles actuelles dans un format plus simple en utilisant le drapeau -S au lieu du drapeau -L :
# sudo iptables -S-P ENTRÉE ACCEPTÉE-P TRANSFERT ACCEPTÉE-P SORTIE ACCEPTÉEDans les deux résultats, nous pouvons voir trois chaînes affichées comme INPUT, FORWARD et OUTPUT. Nous voyons également que la politique par défaut de chaque chaîne est définie sur ACCEPT , mais aucune règle réelle n'est définie dans les résultats ci-dessus. C'est parce qu'Ubuntu/CentOS n'est pas livré avec un jeu de règles par défaut.
Règles de rinçage Iptables
Avant de vider toutes les règles iptables sur votre serveur, assurez-vous d'avoir défini toutes les politiques par défaut (INPUT, FORWARD, OUTPUT) sur ACCEPT. La principale raison de le faire est de s'assurer que vous ne serez pas bloqué sur votre serveur via SSH.
# sudo iptables -P INPUT ACCEPT# sudo iptables -P FORWARD ACCEPT# sudo iptables -P OUTPUT ACCEPTVidez ensuite les tables nat et mangle, videz toutes les chaînes (-F) et supprimez toutes les chaînes par défaut (-X). Exécutez successivement les commandes suivantes pour ce faire,
# sudo iptables -t mangle -X# sudo iptables -t mangle -F# sudo iptables -t nat -X# sudo iptables -t nat -F# sudo iptables -X# sudo iptables -FMaintenant que vous avez vidé toutes les règles, vérifiez les règles actuelles en utilisant la commande iptables -S pour vous assurer que seules les chaînes par défaut sont affichées comme mentionné ci-dessous,
# sudo iptables -S-P ENTRÉE ACCEPTÉE-P TRANSFERT ACCEPTÉE-P SORTIE ACCEPTÉEEnregistrer les règles iptables
Par défaut, toutes les modifications apportées aux règles iptables seront effacées lors du prochain redémarrage du serveur ou à moins qu'elles ne soient enregistrées. Pour enregistrer les règles iptables, suivez la procédure mentionnée ci-dessous,
Ubuntu :
Pour enregistrer les règles Iptabels de manière permanente, les paramètres peuvent être enregistrés de différentes manières, mais la manière la plus simple consiste à utiliser le package "iptables-persistent". Cela peut être téléchargé à partir des dépôts par défaut d'Ubuntu :
# sudo apt-get update# sudo apt-get install iptables-persistentEnregistrez vos règles de pare-feu avec cette commande :
# sudo invoke-rc.d iptables-persistent saveCentOS (6 et versions antérieures) :
Exécutez simplement la commande suivante pour enregistrer les règles iptables dans CentOS6 et versions antérieures,
# sauvegarde iptables du service sudo