![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/Linux-cheat-sheet-FR-1024x283-1.png\/public\")
<\/a><\/figure>\n\n\n\n\n\n
Qu'est-ce que Iptables ?<\/h2>\n
Iptables est un programme de pare-feu pour Linux. Il surveille le trafic en provenance et à destination de votre serveur à l’aide de tableaux. Ces tableaux contiennent des ensembles de règles, appelés chaînes, qui filtrent les paquets de données entrants et sortants.<\/p>\n <\/div>\n\n\n\n<\/p>
Comment fonctionne iptables ?<\/strong><\/h3>Lorsqu’un paquet <\/strong>correspond à une règle<\/strong>, il se voit attribuer une cible<\/strong>, qui peut être une autre chaîne ou l’une de ces valeurs spéciales :<\/p>\n- ACCEPT <\/strong>– autorise le passage du paquet.<\/li>\n\n\n\n
- DROP <\/strong>– ne laisse pas passer le paquet.<\/li>\n\n\n\n
- RETURN <\/strong>– arrête le paquet qui traverse une chaîne et lui demande de revenir à la chaîne précédente.<\/li>\n<\/ul>
Dans ce tutoriel d’iptables, nous allons travailler avec l’une des tables par défaut, appelée filter<\/strong>. Elle se compose de trois chaînes :<\/p>\n- INPUT <\/strong>– contrôle les paquets entrants vers le serveur.<\/li>\n\n\n\n
- FORWARD <\/strong>– filtre les paquets entrants qui seront transférés ailleurs.<\/li>\n\n\n\n
- OUTPUT <\/strong>– filtre les paquets qui sortent de votre serveur.<\/li>\n<\/ul>
Avant de commencer ce guide, assurez-vous d’avoir un accès SSH root <\/strong>ou sudo <\/strong>à votre machine fonctionnant sous Ubuntu 22.04 ou supérieur. Vous pouvez établir la connexion via PuTTY (Windows) ou le terminal shell (Linux, macOS). Si vous possédez un plan VPS Hostinger<\/strong><\/a>, vous pouvez obtenir les détails de connexion SSH dans l’onglet Serveurs de hPanel.<\/p>\n\n\n
Important !<\/strong> les règles Iptables ne s’appliquent qu’à l’ipv4<\/strong>. Si vous souhaitez mettre en place un pare-feu pour le protocole ipv6<\/strong>, vous devrez utiliser ip6tables<\/strong> à la place.<\/p><\/div>\n\n\n\n<\/p>Comment installer et utiliser le pare-feu Linux iptables<\/strong><\/h2>Nous diviserons ce tutoriel iptables en trois étapes. Tout d’abord, vous apprendrez à installer l’outil sur Ubuntu. Ensuite, nous vous montrerons comment définir les règles. Enfin, nous verrons la mise en place de changements persistants dans iptables.<\/p>
1. Installer iptables<\/strong><\/h3>Iptables est préinstallé dans la plupart des distributions Linux<\/strong><\/a>. Cependant, si vous ne l’avez pas par défaut dans votre système Ubuntu\/Debian, suivez les étapes ci-dessous :<\/p>\n- Connectez-vous à votre serveur via SSH. <\/li>\n\n\n\n
- Exécutez les commandes suivantes une par une :<\/li>\n<\/ol>
sudo apt-get update
sudo apt-get install iptables<\/pre>\n- Vérifiez l’état de votre configuration iptables actuelle en exécutant la commande suivante<\/li>\n<\/ol>
sudo iptables -L -v<\/pre>Ici, l’option -L <\/strong>est utilisée pour lister toutes les règles, et -v <\/strong>pour afficher les informations dans un format plus détaillé. Voici un exemple de sortie :<\/p>Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination<\/pre>Le pare-feu Linux iptables est maintenant installé. À ce stade, vous remarquerez que toutes les chaînes sont réglées sur ACCEPT <\/strong>et n’ont pas de règles. Ce n’est pas sûr car n’importe quel paquet peut passer sans être filtré.<\/p>Ne vous inquiétez pas, nous vous apprendrons à définir des règles dans l’étape suivante.<\/p>
2. Définir les règles de la chaîne<\/strong><\/h3>Définir une règle signifie l’ajouter à la chaîne. Pour ce faire, il faut insérer l’option -A <\/strong>(Append<\/strong>) juste après la commande iptables, comme suit :<\/p>sudo iptables -A<\/pre>Cela alertera iptables que vous ajoutez de nouvelles règles à une chaîne. Ensuite, vous pouvez combiner la commande avec d’autres options, telles que :<\/p>
\n- -i <\/strong>(interface<\/strong>) – l’interface réseau dont vous souhaitez filtrer le trafic, par exemple eth0, lo, ppp0, etc.<\/li>\n\n\n\n
- -p <\/strong>(protocol<\/strong>) – le protocole réseau dans lequel se déroule le processus de filtrage. Il peut s’agir de tcp<\/strong>, udp<\/strong>, udplite<\/strong>, icmp<\/strong>, sctp<\/strong>, icmpv6<\/strong>, etc. Vous pouvez également taper all <\/strong>pour choisir tous les protocoles.<\/li>\n\n\n\n
- -s <\/strong>(source<\/strong>) – l’adresse d’où provient le trafic. Vous pouvez ajouter un nom d’hôte ou une adresse IP.<\/li>\n\n\n\n
- -dport <\/strong>(destination port<\/strong>) – le numéro du port de destination d’un protocole, tel que 22 <\/strong>(SSH<\/strong>), 443 <\/strong>(https<\/strong>), etc.<\/li>\n\n\n\n
- -j <\/strong>(target<\/strong>) – le nom de la cible (ACCEPT<\/strong>, DROP<\/strong>, RETURN<\/strong>). Vous devez insérer ce nom à chaque fois que vous créez une nouvelle règle.<\/li>\n<\/ul>
Si vous souhaitez les utiliser toutes, vous devez écrire les commandes dans cet ordre :<\/p>
sudo iptables -A <chain> -i <interface> -p <protocol (tcp\/udp) > -s <source> --dport <port no.> -j <target><\/pre>Une fois que vous avez compris la syntaxe de base, vous pouvez commencer à configurer le pare-feu pour plus de sécurité. Pour ce tutoriel, nous allons utiliser la chaîne INPUT <\/strong>comme exemple.<\/p>Activation du trafic sur localhost<\/strong><\/p>Pour autoriser le trafic sur localhost, tapez cette commande :<\/p>
sudo iptables -A INPUT -i lo -j ACCEPT<\/pre>Nous utiliserons l’interface lo <\/strong>ou loopback <\/strong>pour cette démonstration. Elle est utilisée pour toutes les communications sur l’hôte local. La commande ci-dessus permet de s’assurer que les connexions entre une base de données et une application web sur la même machine fonctionnent correctement.<\/p>Activation des connexions sur les ports HTTP, SSH et SSL<\/strong><\/p>Ensuite, nous voulons que les connexions http <\/strong>(port 80<\/strong>), https <\/strong>(port 443<\/strong>) et ssh <\/strong>(port 22<\/strong>) fonctionnent comme d’habitude. Pour ce faire, nous devons spécifier le protocole (-p<\/strong>) et le port correspondant (-dport<\/strong>). Vous pouvez exécuter ces commandes une par une :<\/p>sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT<\/pre>Il est temps de vérifier si les règles ont été ajoutées dans iptables :<\/p>
sudo iptables -L -v<\/pre>Il devrait renvoyer les résultats ci-dessous, ce qui signifie que toutes les connexions au protocole TCP à partir des ports spécifiés seront acceptées :<\/p>![\"Le](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2017\/09\/destination-port-iptables.png\/public\")
<\/figure>Filtrage des paquets en fonction de la source<\/strong><\/p>Iptables vous permet de filtrer les paquets sur la base d’une adresse IP ou d’une plage d’adresses IP. Pour ce faire, vous devez la spécifier après l’option -s. <\/strong>Par exemple, pour accepter les paquets provenant de 192.168.1.3<\/strong>, la commande serait la suivante :<\/p>sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT<\/pre>Vous pouvez également rejeter les paquets provenant d’une adresse IP spécifique en remplaçant la cible ACCEPT <\/strong>par DROP<\/strong>.<\/p>sudo iptables -A INPUT -s 192.168.1.3 -j DROP<\/pre>Si vous souhaitez supprimer des paquets provenant d’une plage d’adresses IP, vous devez utiliser l’option -m <\/strong>et le module iprange<\/strong>. Ensuite, spécifiez la plage d’adresses IP avec l’option -src-range<\/strong>. N’oubliez pas qu’un trait d’union doit séparer la plage d’adresses IP sans espace, comme ceci :<\/p>sudo iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP<\/pre>Le filtrage des paquets en fonction de leur source est crucial si vous utilisez un système de détection et de prévention des intrusions (IDS\/IPS) comme Suricata<\/strong>. Cet outil surveille votre réseau VPS et vous informe du trafic malveillant.<\/p>L’IDS\/IPS indique l’origine des paquets malveillants, que vous pouvez ajouter à la liste de blocage d’iptables. Consultez notre article pour en savoir plus sur comment installer Suricata sur Ubuntu<\/a><\/strong>. <\/p>![\"\"](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2022\/12\/FR-VPS-hosting_in-text-banner-1024x300-1.png\/public\")
<\/a><\/figure>Bloquer tout autre trafic<\/strong><\/p>Il est essentiel d’utiliser la cible DROP <\/strong>pour tous les autres trafics après avoir défini les règles -dport.<\/strong> Cela empêchera une connexion non autorisée d’accéder au serveur via d’autres ports ouverts. Pour ce faire, il suffit de taper<\/p>sudo iptables -A INPUT -j DROP<\/pre>Désormais, la connexion en dehors du port spécifié sera interrompue.<\/p>
Suppression de règles<\/strong><\/p>Si vous souhaitez supprimer toutes les règles et repartir de zéro, vous pouvez utiliser l’option -F <\/strong>(flush<\/strong>) :<\/strong><\/p>sudo iptables -F<\/pre>Cette commande efface toutes les règles en vigueur. Toutefois, pour supprimer une règle spécifique, vous devez utiliser l’option -D. Tout d’abord, vous devez afficher toutes les règles disponibles en entrant la commande suivante :<\/p>
sudo iptables -L --line-numbers<\/pre>Vous obtiendrez une liste de règles avec des numéros :<\/p>
Chain INPUT (policy ACCEPT)\n\nnum target prot opt source destination\n\n1 ACCEPT all -- 192.168.0.4 anywhere\n2 ACCEPT tcp -- anywhere anywhere tcp dpt:https\n3 ACCEPT tcp -- anywhere anywhere tcp dpt:http\n4 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh<\/pre>Pour supprimer une règle, insérez la chaîne correspondante et le numéro dans la liste. Disons que pour ce tutoriel, nous voulons éliminer la règle numéro trois <\/strong>de la chaîne INPUT<\/strong>. La commande devrait être :<\/p>sudo iptables -D INPUT 3<\/pre>Alternativement, si vous avez besoin de filtrer uniquement le trafic entrant, vous pouvez utiliser le pare-feu VPS de Hostinger. Sélectionnez votre VPS et accédez à la section Pare-feu<\/strong>.<\/p>\n![\"Bouton](\"https:\/\/imagedelivery.net\/LqiWLm-3MGbYHtFuUbcBtA\/wp-content\/uploads\/sites\/46\/2017\/09\/pare-feu-hpanel.png\/public\")
- \n
- ACCEPT <\/strong>– autorise le passage du paquet.<\/li>\n\n\n\n
- DROP <\/strong>– ne laisse pas passer le paquet.<\/li>\n\n\n\n
- RETURN <\/strong>– arrête le paquet qui traverse une chaîne et lui demande de revenir à la chaîne précédente.<\/li>\n<\/ul>
Dans ce tutoriel d’iptables, nous allons travailler avec l’une des tables par défaut, appelée filter<\/strong>. Elle se compose de trois chaînes :<\/p>
- \n
- INPUT <\/strong>– contrôle les paquets entrants vers le serveur.<\/li>\n\n\n\n
- FORWARD <\/strong>– filtre les paquets entrants qui seront transférés ailleurs.<\/li>\n\n\n\n
- OUTPUT <\/strong>– filtre les paquets qui sortent de votre serveur.<\/li>\n<\/ul>
Avant de commencer ce guide, assurez-vous d’avoir un accès SSH root <\/strong>ou sudo <\/strong>à votre machine fonctionnant sous Ubuntu 22.04 ou supérieur. Vous pouvez établir la connexion via PuTTY (Windows) ou le terminal shell (Linux, macOS). Si vous possédez un plan VPS Hostinger<\/strong><\/a>, vous pouvez obtenir les détails de connexion SSH dans l’onglet Serveurs de hPanel.<\/p>
\n\n\n
Important !<\/strong> les règles Iptables ne s’appliquent qu’à l’ipv4<\/strong>. Si vous souhaitez mettre en place un pare-feu pour le protocole ipv6<\/strong>, vous devrez utiliser ip6tables<\/strong> à la place.<\/p><\/div>\n\n\n\n<\/p>
Comment installer et utiliser le pare-feu Linux iptables<\/strong><\/h2>
Nous diviserons ce tutoriel iptables en trois étapes. Tout d’abord, vous apprendrez à installer l’outil sur Ubuntu. Ensuite, nous vous montrerons comment définir les règles. Enfin, nous verrons la mise en place de changements persistants dans iptables.<\/p>
1. Installer iptables<\/strong><\/h3>
Iptables est préinstallé dans la plupart des distributions Linux<\/strong><\/a>. Cependant, si vous ne l’avez pas par défaut dans votre système Ubuntu\/Debian, suivez les étapes ci-dessous :<\/p>
- \n
- Connectez-vous à votre serveur via SSH. <\/li>\n\n\n\n
- Exécutez les commandes suivantes une par une :<\/li>\n<\/ol>
sudo apt-get update
sudo apt-get install iptables<\/pre>- \n
- Vérifiez l’état de votre configuration iptables actuelle en exécutant la commande suivante<\/li>\n<\/ol>
sudo iptables -L -v<\/pre>
Ici, l’option -L <\/strong>est utilisée pour lister toutes les règles, et -v <\/strong>pour afficher les informations dans un format plus détaillé. Voici un exemple de sortie :<\/p>
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination<\/pre>Le pare-feu Linux iptables est maintenant installé. À ce stade, vous remarquerez que toutes les chaînes sont réglées sur ACCEPT <\/strong>et n’ont pas de règles. Ce n’est pas sûr car n’importe quel paquet peut passer sans être filtré.<\/p>
Ne vous inquiétez pas, nous vous apprendrons à définir des règles dans l’étape suivante.<\/p>
2. Définir les règles de la chaîne<\/strong><\/h3>
Définir une règle signifie l’ajouter à la chaîne. Pour ce faire, il faut insérer l’option -A <\/strong>(Append<\/strong>) juste après la commande iptables, comme suit :<\/p>
sudo iptables -A<\/pre>
Cela alertera iptables que vous ajoutez de nouvelles règles à une chaîne. Ensuite, vous pouvez combiner la commande avec d’autres options, telles que :<\/p>
- \n
- -i <\/strong>(interface<\/strong>) – l’interface réseau dont vous souhaitez filtrer le trafic, par exemple eth0, lo, ppp0, etc.<\/li>\n\n\n\n
- -p <\/strong>(protocol<\/strong>) – le protocole réseau dans lequel se déroule le processus de filtrage. Il peut s’agir de tcp<\/strong>, udp<\/strong>, udplite<\/strong>, icmp<\/strong>, sctp<\/strong>, icmpv6<\/strong>, etc. Vous pouvez également taper all <\/strong>pour choisir tous les protocoles.<\/li>\n\n\n\n
- -s <\/strong>(source<\/strong>) – l’adresse d’où provient le trafic. Vous pouvez ajouter un nom d’hôte ou une adresse IP.<\/li>\n\n\n\n
- -dport <\/strong>(destination port<\/strong>) – le numéro du port de destination d’un protocole, tel que 22 <\/strong>(SSH<\/strong>), 443 <\/strong>(https<\/strong>), etc.<\/li>\n\n\n\n
- -j <\/strong>(target<\/strong>) – le nom de la cible (ACCEPT<\/strong>, DROP<\/strong>, RETURN<\/strong>). Vous devez insérer ce nom à chaque fois que vous créez une nouvelle règle.<\/li>\n<\/ul>
Si vous souhaitez les utiliser toutes, vous devez écrire les commandes dans cet ordre :<\/p>
sudo iptables -A <chain> -i <interface> -p <protocol (tcp\/udp) > -s <source> --dport <port no.> -j <target><\/pre>
Une fois que vous avez compris la syntaxe de base, vous pouvez commencer à configurer le pare-feu pour plus de sécurité. Pour ce tutoriel, nous allons utiliser la chaîne INPUT <\/strong>comme exemple.<\/p>
Activation du trafic sur localhost<\/strong><\/p>
Pour autoriser le trafic sur localhost, tapez cette commande :<\/p>
sudo iptables -A INPUT -i lo -j ACCEPT<\/pre>
Nous utiliserons l’interface lo <\/strong>ou loopback <\/strong>pour cette démonstration. Elle est utilisée pour toutes les communications sur l’hôte local. La commande ci-dessus permet de s’assurer que les connexions entre une base de données et une application web sur la même machine fonctionnent correctement.<\/p>
Activation des connexions sur les ports HTTP, SSH et SSL<\/strong><\/p>
Ensuite, nous voulons que les connexions http <\/strong>(port 80<\/strong>), https <\/strong>(port 443<\/strong>) et ssh <\/strong>(port 22<\/strong>) fonctionnent comme d’habitude. Pour ce faire, nous devons spécifier le protocole (-p<\/strong>) et le port correspondant (-dport<\/strong>). Vous pouvez exécuter ces commandes une par une :<\/p>
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT<\/pre>Il est temps de vérifier si les règles ont été ajoutées dans iptables :<\/p>
sudo iptables -L -v<\/pre>
Il devrait renvoyer les résultats ci-dessous, ce qui signifie que toutes les connexions au protocole TCP à partir des ports spécifiés seront acceptées :<\/p>
<\/figure>Filtrage des paquets en fonction de la source<\/strong><\/p>
Iptables vous permet de filtrer les paquets sur la base d’une adresse IP ou d’une plage d’adresses IP. Pour ce faire, vous devez la spécifier après l’option -s. <\/strong>Par exemple, pour accepter les paquets provenant de 192.168.1.3<\/strong>, la commande serait la suivante :<\/p>
sudo iptables -A INPUT -s 192.168.1.3 -j ACCEPT<\/pre>
Vous pouvez également rejeter les paquets provenant d’une adresse IP spécifique en remplaçant la cible ACCEPT <\/strong>par DROP<\/strong>.<\/p>
sudo iptables -A INPUT -s 192.168.1.3 -j DROP<\/pre>
Si vous souhaitez supprimer des paquets provenant d’une plage d’adresses IP, vous devez utiliser l’option -m <\/strong>et le module iprange<\/strong>. Ensuite, spécifiez la plage d’adresses IP avec l’option -src-range<\/strong>. N’oubliez pas qu’un trait d’union doit séparer la plage d’adresses IP sans espace, comme ceci :<\/p>
sudo iptables -A INPUT -m iprange --src-range 192.168.1.100-192.168.1.200 -j DROP<\/pre>
Le filtrage des paquets en fonction de leur source est crucial si vous utilisez un système de détection et de prévention des intrusions (IDS\/IPS) comme Suricata<\/strong>. Cet outil surveille votre réseau VPS et vous informe du trafic malveillant.<\/p>
L’IDS\/IPS indique l’origine des paquets malveillants, que vous pouvez ajouter à la liste de blocage d’iptables. Consultez notre article pour en savoir plus sur comment installer Suricata sur Ubuntu<\/a><\/strong>. <\/p>
<\/a><\/figure>Bloquer tout autre trafic<\/strong><\/p>
Il est essentiel d’utiliser la cible DROP <\/strong>pour tous les autres trafics après avoir défini les règles -dport.<\/strong> Cela empêchera une connexion non autorisée d’accéder au serveur via d’autres ports ouverts. Pour ce faire, il suffit de taper<\/p>
sudo iptables -A INPUT -j DROP<\/pre>
Désormais, la connexion en dehors du port spécifié sera interrompue.<\/p>
Suppression de règles<\/strong><\/p>
Si vous souhaitez supprimer toutes les règles et repartir de zéro, vous pouvez utiliser l’option -F <\/strong>(flush<\/strong>) :<\/strong><\/p>
sudo iptables -F<\/pre>
Cette commande efface toutes les règles en vigueur. Toutefois, pour supprimer une règle spécifique, vous devez utiliser l’option -D. Tout d’abord, vous devez afficher toutes les règles disponibles en entrant la commande suivante :<\/p>
sudo iptables -L --line-numbers<\/pre>
Vous obtiendrez une liste de règles avec des numéros :<\/p>
Chain INPUT (policy ACCEPT)\n\nnum target prot opt source destination\n\n1 ACCEPT all -- 192.168.0.4 anywhere\n2 ACCEPT tcp -- anywhere anywhere tcp dpt:https\n3 ACCEPT tcp -- anywhere anywhere tcp dpt:http\n4 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh<\/pre>
Pour supprimer une règle, insérez la chaîne correspondante et le numéro dans la liste. Disons que pour ce tutoriel, nous voulons éliminer la règle numéro trois <\/strong>de la chaîne INPUT<\/strong>. La commande devrait être :<\/p>
sudo iptables -D INPUT 3<\/pre>
Alternativement, si vous avez besoin de filtrer uniquement le trafic entrant, vous pouvez utiliser le pare-feu VPS de Hostinger. Sélectionnez votre VPS et accédez à la section Pare-feu<\/strong>.<\/p>
\n - -p <\/strong>(protocol<\/strong>) – le protocole réseau dans lequel se déroule le processus de filtrage. Il peut s’agir de tcp<\/strong>, udp<\/strong>, udplite<\/strong>, icmp<\/strong>, sctp<\/strong>, icmpv6<\/strong>, etc. Vous pouvez également taper all <\/strong>pour choisir tous les protocoles.<\/li>\n\n\n\n
- -i <\/strong>(interface<\/strong>) – l’interface réseau dont vous souhaitez filtrer le trafic, par exemple eth0, lo, ppp0, etc.<\/li>\n\n\n\n
- Vérifiez l’état de votre configuration iptables actuelle en exécutant la commande suivante<\/li>\n<\/ol>
- FORWARD <\/strong>– filtre les paquets entrants qui seront transférés ailleurs.<\/li>\n\n\n\n
- DROP <\/strong>– ne laisse pas passer le paquet.<\/li>\n\n\n\n