Forum Linux.débutant Iptables ebtables scripts - mode débutant

Posté par .
Tags : aucun
2
19
juil.
2012

Bonsoir,

J'ai quelques questions de débutant concernant Iptables / Ebtables et les scripts executables

Iptables :
Pourquoi utilise t'on un fichier script dans lequel nous mettons les règles iptables plutôt que dans le fichier par défaut /etc/sysconfig/iptables ?? (je suis sous CentOS)

Ebtables:
Avec Ebtables peut-on utiliser un fichier configuration comme sous iptables /etc/sysconfig/ebtables ?
(rien trouvé sur ce sujet sur le site officiel) Il semblerait qu'il faille créer un script obligatoirement ??

Si les deux fonctionnent avec des scripts nous pouvons donc, dans l'absolu, créer un unique fichier script contenant les deux règles !!
Est-ce intelligent en terme de sécurité et de maintenance ?

Scripts:
Et donc pour clôturer ces questions peut-on rendre ces scripts exécutables avec un lancement au démarrage en procédant comme suit ???

1- créer les fichiers script-iptables.sh et script-ebtables.sh
2- effectuer un chmod +x script-iptables.sh && chmod +x script-ebtables.sh
3- les placer dans le dossier /etc/init.d
4- effectuer un update-rc.d /etc/init.d/script-iptables && update-rc.d /etc/init.d/script-ebtables
5- un reboot et un Iptables -L pour voir si elles sont chargées
6- faut-il créer des scripts pour l'arrêt ?? cela à t'il un sens car avec un simple "service ipables stop" cela doit fonctionner ??!!

Ces scripts ce lancent donc après le démarrage du système je suppose ?
Donc si Iptables se lance en dernier ce n'est pas top !! y a t'il un moyen d'établir un ordre de lancement des scripts ?

Merci par avance pour vos commentaires car je coule un peu _^

Cdt,
Emmanuelt

  • # Re:

    Posté par . Évalué à 4.

    Pourquoi utilise t'on un fichier script dans lequel nous mettons les règles iptables plutôt que dans le fichier par défaut /etc/sysconfig/iptables ?? (je suis sous CentOS)

    C'est pas une bonne idée, /etc/sysconfig/iptables est régénéré automatiquement avec les règles en cours quand on fait /etc/init.d/iptables save, jamais une bonne idée de mettre ses configurations perso dans un fichier qui peut être écrasé automatiquement par un script.

    On utilise /etc/sysconfig/iptables pour charger automatiquement et de façon atomique les règles iptables au démarrage, mais on stocke sa config perso ailleurs pour modification ultérieure.

    Avec Ebtables peut-on utiliser un fichier configuration comme sous iptables /etc/sysconfig/ebtables ?

    Jamais utilisé ebtables sous centOS, mais en tout cas les fichiers sont installés par le rpm:

    /etc/rc.d/init.d/ebtables
    /etc/sysconfig/ebtables-config
    /etc/sysconfig/ebtables.broute
    /etc/sysconfig/ebtables.filter
    /etc/sysconfig/ebtables.nat
    
    

    Et donc pour clôturer ces questions peut-on rendre ces scripts exécutables avec un lancement au démarrage en procédant comme suit ???

    update-rc.d c'est pour Debian, CentOS c'est chkconfig et si tu met le script en conformité avec certaines règles spécifiques aux initscripts RedHat, http://fedoraproject.org/wiki/Packaging:SysVInitScript , qui explique aussi comment gérer l'ordre de démarrage, oui ça marchera.

    • [^] # Re: oullaaa j'avais pas tout bon ^_^

      Posté par . Évalué à 0.

      Ok j'ai bien compris pour les scripts et iptables

      Pour ebtables il y a donc un script par grosse fonction
      - ebtables.broute j'imagine qu'il s'occupe du Brouting / routage il gère donc uniquement la chaine Brouting
      - ebtables.nat c'est pour gérer le Prerouting et le Postrouting (NAT sur les adresses MAC par exemple) et apparemment le MAN de ebtable indique aussi Output (surement nécessaire au NAT)
      - ebtables.filter c'est la ou sont les règles de filtrage entre l'Input l'Output (pour un traitement local ) et aussi le Forward
      - ebtables-config rien trouvé à son sujet mais en regardant dedans j'ai cru comprendre qu'il était la uniquement pour définir si les fichiers de configuration étaient en binaire ou en mode texte ??

      - /etc/rc.d/init.d/ebtables j'y capte pas grand chose mais en regardant dedans j'ai vu start, stop, reload donc j'imagine qu'il gère le processus lui même

      Mon esprit n'a pas bouillonné assez pour penser à chkconfig _^

      Ahh dernière petite question peut-on prioritiser (ça se dit ?) un script qui se lance au démarrage plutôt q'un autre ??

      Script2-Vital.sh en premier
      Script1-important.sh en deuxième
      Script3-classique.sh en troisième

      Merci encore pour toutes ces informations,

    • [^] # Re:

      Posté par . Évalué à 1.

      pour l'ordre des scripts je n'ai pas les yeux ouverts ce matin

      "update-rc.d c'est pour Debian, CentOS c'est chkconfig et si tu met le script en conformité avec certaines règles spécifiques aux initscripts RedHat, http://fedoraproject.org/wiki/Packaging:SysVInitScript , qui explique aussi comment gérer l'ordre de démarrage, oui ça marchera."

      • [^] # Re:

        Posté par . Évalué à 2.

        Anéfé je croyait les fonctions LSB plus riches que ça. Faudrait voir la documentation de Upstart (RHEL 6) si y'a moyen de préciser un "before net", comme sous gentoo, sinon faut jouer à l’ancienne avec les liens dans /etc/rc?.d/SXXnomduscript

        • [^] # Re:

          Posté par . Évalué à 2.

          si y'a moyen de préciser un "before net", comme sous gentoo, sinon faut jouer à l’ancienne avec les liens dans /etc/rc?.d/SXXnomduscript

          dans /etc/network/interfaces
          pre-up /usr/local/tonscript.sh

          pour lancer tonscript.sh avant que la carte reseau soit montée.
          post-up pour lancer le script apres…

  • # autre petite question concernant Iptables

    Posté par . Évalué à 0.

    Pour revenir sur Iptables j'ai une dernière question de débutant

    J'ai bien compris l'intérêt des scripts cependant le contenu du fichier installé par défaut /etc/sysconfig/iptables lui doit :
    1. tout bloquer et c'est tout ? (le script personnalisé se chargeant de monter les règles).
    2. être vide ?
    Par contre je ne reviendrait pas sur sa présence qui est nécessaire.

    Merci par avance,
    Emmanuelt

    • [^] # Re: autre petite question concernant Iptables

      Posté par . Évalué à 3.

      Désolé de répondre si tard.

      /etc/sysconfig/iptables doit contenir les règles courantes, enregistrées par /etc/init.d/iptables save
      L'état dans lequel on veut trouver le firewall au démarrage quoi. La procédure que j'utilise sous centOS :

      1: Je crée un script iptables (à l’ancienne, mais su tu est familiarisé avec la syntaxe d'iptables-restore tu peux l'utiliser)
      2: J’exécute le script
      3: Je vérifie que tout convient
      4: Je sauvegarde (/etc/init.d/iptables save) pour que ce soit pris en compte à chaque démarrage.

      Et si je veux modifier les règles je reprend à partir de 1.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.