Bonsoir,
J'ai quelques questions de débutant concernant Iptables / Ebtables et les scripts executables
Iptables :
Pourquoi utilise t'on un fichier script dans lequel nous mettons les règles iptables plutôt que dans le fichier par défaut /etc/sysconfig/iptables ?? (je suis sous CentOS)
Ebtables:
Avec Ebtables peut-on utiliser un fichier configuration comme sous iptables /etc/sysconfig/ebtables ?
(rien trouvé sur ce sujet sur le site officiel) Il semblerait qu'il faille créer un script obligatoirement ??
Si les deux fonctionnent avec des scripts nous pouvons donc, dans l'absolu, créer un unique fichier script contenant les deux règles !!
Est-ce intelligent en terme de sécurité et de maintenance ?
Scripts:
Et donc pour clôturer ces questions peut-on rendre ces scripts exécutables avec un lancement au démarrage en procédant comme suit ???
1- créer les fichiers script-iptables.sh et script-ebtables.sh
2- effectuer un chmod +x script-iptables.sh && chmod +x script-ebtables.sh
3- les placer dans le dossier /etc/init.d
4- effectuer un update-rc.d /etc/init.d/script-iptables && update-rc.d /etc/init.d/script-ebtables
5- un reboot et un Iptables -L pour voir si elles sont chargées
6- faut-il créer des scripts pour l'arrêt ?? cela à t'il un sens car avec un simple "service ipables stop" cela doit fonctionner ??!!
Ces scripts ce lancent donc après le démarrage du système je suppose ?
Donc si Iptables se lance en dernier ce n'est pas top !! y a t'il un moyen d'établir un ordre de lancement des scripts ?
Merci par avance pour vos commentaires car je coule un peu _^
Cdt,
Emmanuelt
# Re:
Posté par Tonton Benoit . Évalué à 4.
C'est pas une bonne idée, /etc/sysconfig/iptables est régénéré automatiquement avec les règles en cours quand on fait /etc/init.d/iptables save, jamais une bonne idée de mettre ses configurations perso dans un fichier qui peut être écrasé automatiquement par un script.
On utilise /etc/sysconfig/iptables pour charger automatiquement et de façon atomique les règles iptables au démarrage, mais on stocke sa config perso ailleurs pour modification ultérieure.
Jamais utilisé ebtables sous centOS, mais en tout cas les fichiers sont installés par le rpm:
update-rc.d c'est pour Debian, CentOS c'est chkconfig et si tu met le script en conformité avec certaines règles spécifiques aux initscripts RedHat, http://fedoraproject.org/wiki/Packaging:SysVInitScript , qui explique aussi comment gérer l'ordre de démarrage, oui ça marchera.
[^] # Re: oullaaa j'avais pas tout bon ^_^
Posté par emmanuelt . Évalué à 0.
Ok j'ai bien compris pour les scripts et iptables
Pour ebtables il y a donc un script par grosse fonction
- ebtables.broute j'imagine qu'il s'occupe du Brouting / routage il gère donc uniquement la chaine Brouting
- ebtables.nat c'est pour gérer le Prerouting et le Postrouting (NAT sur les adresses MAC par exemple) et apparemment le MAN de ebtable indique aussi Output (surement nécessaire au NAT)
- ebtables.filter c'est la ou sont les règles de filtrage entre l'Input l'Output (pour un traitement local ) et aussi le Forward
- ebtables-config rien trouvé à son sujet mais en regardant dedans j'ai cru comprendre qu'il était la uniquement pour définir si les fichiers de configuration étaient en binaire ou en mode texte ??
- /etc/rc.d/init.d/ebtables j'y capte pas grand chose mais en regardant dedans j'ai vu start, stop, reload donc j'imagine qu'il gère le processus lui même
Mon esprit n'a pas bouillonné assez pour penser à chkconfig _^
Ahh dernière petite question peut-on prioritiser (ça se dit ?) un script qui se lance au démarrage plutôt q'un autre ??
Script2-Vital.sh en premier
Script1-important.sh en deuxième
Script3-classique.sh en troisième
Merci encore pour toutes ces informations,
[^] # Re: oullaaa j'avais pas tout bon ^_^
Posté par Anonyme . Évalué à 2.
Je crois qu’on dévie du sujet original :)
[^] # Re:
Posté par emmanuelt . Évalué à 1.
pour l'ordre des scripts je n'ai pas les yeux ouverts ce matin
[^] # Re:
Posté par Tonton Benoit . Évalué à 2.
Anéfé je croyait les fonctions LSB plus riches que ça. Faudrait voir la documentation de Upstart (RHEL 6) si y'a moyen de préciser un "before net", comme sous gentoo, sinon faut jouer à l’ancienne avec les liens dans /etc/rc?.d/SXXnomduscript
[^] # Re:
Posté par NeoX . Évalué à 2.
dans /etc/network/interfaces
pre-up /usr/local/tonscript.sh
pour lancer tonscript.sh avant que la carte reseau soit montée.
post-up pour lancer le script apres…
# autre petite question concernant Iptables
Posté par emmanuelt . Évalué à 0.
Pour revenir sur Iptables j'ai une dernière question de débutant
J'ai bien compris l'intérêt des scripts cependant le contenu du fichier installé par défaut /etc/sysconfig/iptables lui doit :
1. tout bloquer et c'est tout ? (le script personnalisé se chargeant de monter les règles).
2. être vide ?
Par contre je ne reviendrait pas sur sa présence qui est nécessaire.
Merci par avance,
Emmanuelt
[^] # Re: autre petite question concernant Iptables
Posté par Tonton Benoit . Évalué à 3.
Désolé de répondre si tard.
/etc/sysconfig/iptables doit contenir les règles courantes, enregistrées par /etc/init.d/iptables save
L'état dans lequel on veut trouver le firewall au démarrage quoi. La procédure que j'utilise sous centOS :
1: Je crée un script iptables (à l’ancienne, mais su tu est familiarisé avec la syntaxe d'iptables-restore tu peux l'utiliser)
2: J’exécute le script
3: Je vérifie que tout convient
4: Je sauvegarde (/etc/init.d/iptables save) pour que ce soit pris en compte à chaque démarrage.
Et si je veux modifier les règles je reprend à partir de 1.
[^] # Re: autre petite question concernant Iptables
Posté par emmanuelt . Évalué à 0.
Super merci,
tout est clair maintenant.
Bonne journée
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.