Best Pratice pour iptables

Iptables

Les règles de filtrages deviennent vite incontrôlables lorsque l’on n’emploie pas une bonne méthode pour les organiser. Du au fait qu’il n’est pas possible de mettre des commentaires dans les règles elles-mêmes (c’est possible dans un script), il faudra utiliser la méthode suivante :

Il faut toujours utiliser le module state pour éviter de repasser a chaque fois toutes les règles pour tous les paquets
Il faut déclarer chaque service comme une chaine
Il faut créer un chaine pour un utilisateurs ou un groupe d’utilisateurs

La règle suivante est la première de la table INPUT :

iptables -A INPUT -m state --state ESTABLISHED -j accept

Cette règle permet de laisser passer à travers le filtre toutes les connexions déjà établies. Ensuite il suffira de filtrer simplement les débuts de connexions en ajoutant des règles plus appropriées.

Exemple : Ajouter l’accès pour pouvoir me connecter à mysql sans accès SSH.

Création de la table MYSQL
Redirection de tous les packets du port mysql vers la tables MYSQL
Création d’une table pour un utilisateur
Ajout des sources de connexion habituelle de l’utilisateur
Ajout de la tables de l’utilisateur comme vérification d’accès au service

iptables -N MYSQL                     
iptables -A INPUT -m state --state NEW -p tcp --dport mysql -j MYSQL            
iptables -N MONNOMDEPIRATE                                               
iptables -A MONNOMDEPIRATE -s machine.de-pirate.net -j ACCEPT            
iptables -A MONNOMDEPIRATE -s mabox.de-pirate.net -j ACCEPT            
iptables -A MYSQL -j MONNOMDEPIRATE

Ainsi pour quelqu’un d’autre rajoute sa propre source il suffit de faire l’opération suivante :

iptables -A MONPOTELEPIRATE -s samachine.de-pirate.net -j ACCEPT            
iptables -A MONPOTELEPIRATE -s sabox.de-pirate.net -j ACCEPT            
iptables -A MYSQL -j MONPOTELEPIRATE

Ensuite pour se rajouter un nouveau service qui existe déjà, par exemple pour le LDAP

iptables -A LDAP -j MONPOTELEPIRATE