Netfilter/Iptables est le pare-feu le plus utilisé sous GNU/Linux. Dans ce pas à pas, nous allons voir petit à petit comment configurer son pare-feu via des exemples.

Fonctionnement de la chaîne

Chaque paquet passe à travers une suite de règles appelé chaîne. S’il correspond à l’une d’entre elles, le paquet sort de la chaîne puis il est traité en conséquence.

Premières règles

Les règles sont testées dans l’ordre où elles sont dans la chaîne. Par exemple si nous avons les règles :

iptables -A INPUT -j ACCEPT
iptables -A INPUT -j DROP

Tous les paquets entrants sur notre pare-feu seront acceptés puis sortis de la chaîne. La seconde règle ne sera donc jamais utilisée. C’est pour cela que l’on met toujours les règles les plus précises en premier et que l’on finit par les plus généralistes.

Les trois flux

Il est aussi possible d’appliquer les mêmes règles sur un paquet sortant ou transmis (dans le cas d’un routeur ou une passerelle).

iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT

Polices par défaut

Il peut arriver qu’un paquet ne corresponde à aucune des règles d’une chaîne. Dans ce cas, il est soumis à une règle par défaut.

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

Dans le cas suivant tous paquets entrants sera refusé et les paquets sortants seront acceptés.