_iptables.book Page 22 Lundi, 8. novembre 2004 6:33 18 Les iptables Linux — précis & concis Mandataires transparents Les mandataires transparents (transparent proxy) permettent d’intercepter certaines connexions sortantes et de les rediriger vers un ordinateur qui va les gérer à la place de la machine cible originale. Cette technique permet de créer des mandataires (proxy) pour certains services sans pour autant avoir besoin de configurer chaque ordinateur du réseau interne. Comme tout le trafic vers le monde extérieur passe par la passerelle, toutes les connexions sur un port donné seront traitées de manière transparente. Si vous avez configuré un mandataire HTTP (comme Squid, par exemple) de sorte à ce qu’il se comporte comme un mandataire transparent sur votre machine pare-feu et qu’il écoute sur le port 8888, vous pouvez ajouter une règle pour rediriger les connexions HTTP sortantes vers ce dernier grâce à la commande suivante : iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8888 La mise en place d’un mandataire transparent est en revanche bien plus compliquée si le service doit tourner sur un autre hôte. Vous pourrez trouver de plus amples informations sur la mise en place de Squid dans le guide de Daniel Kiracofe intitulé « Transparent Proxy with Linux and Squid mini-HOWTO » et disponible depuis le site du LDP (Linux Documentation Project, http://www.tldp.org/HOWTO/TransparentProxy.html). Distribution et équilibrage de charge Vous pouvez distribuer la charge vers un certain nombre d’hôtes grâce aux extensions de correspondance nth et de cible DNAT. L’équilibrage de charge est une sorte de distribution de charge intelligente qui implique l’utilisation de statistiques de montées en charge des différents hôtes afin de sélectionner de manière plus fine les hôtes vers lesquels les paquets seront envoyés et de les maintenir ainsi à un niveau de charge égal. 22 _iptables.book Page 23 Lundi, 8. novembre 2004 6:33 18 Introduction Pare-feu à état et sans état Un pare-feu est une passerelle qui restreint le trafic sur le réseau auquel il est connecté. Les pare-feu sans état utilisent des règles simples ne nécessitant pas de suivi de connexion ou d’état, comme par exemple la correspondance de certaines adresses et/ou ports source et destination de certains protocoles. Les pare-feu à état permettent un traitement plus évolué des paquets et impliquent un suivi des connexions et des états, il peut s’agir, par exemple, de garder une trace de l’activité réseau de chaque hôte ou de chaque connexion (iplimit, limit ou d’autres extensions de correspondance). iptables permet de créer des règles des deux types (mais reportezvous à l’avertissement se trouvant dans la section Traduction d’adresses réseau, page 19). Outils complémentaires De nombreux utilitaires réseaux peuvent fournir une aide considérable lorsqu’il s’agit de régler des problèmes relatifs au parefeu ou au trafic sur le réseau. Le tableau 14 en fournit une liste non exhaustive des outils les plus couramment employés. Tableau 14. Quelques outils complémentaires Outil Description ethereal Analyseur de protocole réseau. http://www. ethereal.com/ Nessus Analyseur de sécurité de machine/réseau distant(e). http://www.nessus.org/intro.html nmap Exploration et audit de réseaux. http://www. insecure.org/nmap/ ntop Sonde et analyseur de trafic réseau. http://ntop.ethereal.com/ntop.html ping Envoi de paquet ICMP ECHO_REQUEST. 23 _iptables.book Page 24 Lundi, 8. novembre 2004 6:33 18 Les iptables Linux — précis & concis Tableau 14. Quelques outils complémentaires (suite) Outil Description tcpdump Capture de paquets (renifleur). http://wwwnrg.ee.lbl.gov/ traceroute Trace la route empruntée par les paquets pour atteindre un certain hôte. Référence de la commande iptables La plupart des commandes d’iptables peuvent être regroupées en sous-commandes et règles de correspondance. Le tableau 15 décrit les options qui ne peuvent faire l’objet d’une telle classification. Tableau 15. Quelques options Option Description -c nbPaquets nbOctets En conjonction avec les sous-commandes -A, -I ou -R, règle respectivement la valeur des compteurs de paquets et d’octets d’une nouvelle règle (ou d’une règle modifiée) sur nbPaquets et nbOctets. --exact Synonyme de -x. -h Affiche la liste des commandes iptables. Utilisé après -m correspondance ou -j cible, provoque également l’affichage de l’aide relative à l’extension de correspondance ou de cible respectivement. --help Synonyme de -h. -j cible [options] Détermine le sort des paquets correspondant à la règle. La cible peut être le nom d’une chaîne utilisateur, l’une des cibles par défaut ou encore une extension iptables (auquel cas des options supplémentaires peuvent être passées). 24 _iptables.book Page 25 Lundi, 8. novembre 2004 6:33 18 Référence de la commande iptables Tableau 15. Quelques options (suite) Option Description --jump Synonyme de -j. --line-numbers Utilisée en conjonction avec la souscommande -L, affiche le numéro de chaque règle de chaque chaîne qui pourra alors servir de référence (c’est-à-dire d’index) lors de leur insertion (via -I) ou suppression (via -D) d’une chaîne. -m correspondance [options] Invoque une correspondance étendue, avec possibilité d’options supplémentaires. --match Synonyme de -m. -M cmd Utilisée pour charger un module iptables (avec de nouvelles cibles ou extensions de correspondance) lors de l’insertion ou le remplacement de règles. --modprobe=cmd Synonyme de -M. -n Affiche les adresses et les ports sous forme numérique sans essayer de résoudre les noms de domaine et de services correspondants. Cette option est particulièrement utile lorsque votre DNS est lent ou en panne. --numeric Synonyme de -n. --set-counters Synonyme de -c. -t table La sous-commande affecte la table passée en argument. Si cette option n’est pas utilisée, la sous-commande affectera par défaut la table filter. --table Synonyme de -t. -v Provoque l’affichage verbeux. --verbose Synonyme de -v. -x Affiche les valeurs exactes des compteurs de paquets et d’octets au lieu de leur forme abrégé sous forme métrique (K, M ou G). 25