Firewall (Pare feu)

CHAIN

Définit la chaîne dans laquelle la règle sera placée.

Les chaînes déterminent si le trafic est traité au moment de son entrée, de sa sortie, ou lors de sa transmission à travers le routeur

Les chaînes communes incluent input, output, et forward.

Input

Description: La chaîne input est utilisée pour les paquets destinés au routeur lui-même.

Utilisation typique: Bloquer ou permettre l'accès au routeur depuis des réseaux spécifiques, ou limiter l'accès aux services de gestion du routeur pour améliorer la sécurité.

Output

Description: La chaîne output concerne les paquets générés par le routeur et en cours d'envoi à partir de celui-ci.

Cela inclut tout trafic initié par le routeur, comme les réponses aux requêtes DNS ou les sessions de sortie SSH.

Utilisation typique: Contrôler et surveiller tout ce que le routeur envoie, pour des raisons de sécurité ou de logging.

Forward

Description: La chaîne forward est utilisée pour les paquets qui traversent le routeur, c'est-à-dire tous les paquets qui ne sont ni destinés au routeur ni générés par lui mais qui doivent passer d'une interface à une autre.

C'est le cas typique du trafic routé entre différents segments de réseau ou VLANs.

Utilisation typique: Filtrer, rediriger ou prioriser le trafic traversant le routeur, comme bloquer certaines requêtes de l'extérieur vers des machines internes ou implémenter des règles QoS.

PROTOCOL

Le paramètre protocol est utilisé pour spécifier le type de protocole de la couche de transport que la règle doit considérer lors du filtrage des paquets.

Cela permet de contrôler le trafic réseau en fonction du type de protocole utilisé pour la communication.

Il y a plusieurs protocoles disponibles mais les principaux sont tcp, udp et icmp.

DST_PORT et SRC_PORT

Permettent de filtrer le trafic réseau en fonction des ports de destination et de source utilisés par les protocoles de transport tels que TCP et UDP.

Ces paramètres sont essentiels pour cibler des services spécifiques ou des applications qui écoutent ou envoient des données sur des ports connus.

Le dst-port spécifie le port de destination des paquets réseau.

C'est le port sur lequel le serveur ou le service attend des connexions ou des données.

Par exemple, le port de destination pour les requêtes SSH est généralement le port 22.

Ce paramètre est fréquemment utilisé pour contrôler l'accès à des services spécifiques.

Par exemple, vous pouvez bloquer tout le trafic entrant sur le port TCP 80 pour empêcher l'accès HTTP à un serveur.

Le src-port indique le port source d'où proviennent les paquets.

Le port source est souvent choisi aléatoirement par le système d'exploitation du client lors de l'établissement d'une connexion.

Bien que moins couramment utilisé que dst-port pour des règles de filtrage, src-port peut être utile pour identifier ou bloquer le trafic provenant de sources spécifiques, surtout lorsque les ports sources ne sont pas choisis au hasard mais correspondent à des applications spécifiques.

IN_INTERFACE et OUT_INTERFACE

Sont utilisés dans les règles de pare-feu pour spécifier les interfaces réseau à travers lesquelles les paquets entrent ou sortent.

Ces paramètres sont essentiels pour appliquer des règles de pare-feu à des flux de trafic spécifiques en fonction de l'origine ou de la destination des paquets au sein du réseau.

ether1, ether2, ..., etherX

in-interface est utilisé pour identifier l'interface réseau par laquelle un paquet entre dans le routeur.

Ce paramètre est principalement utilisé dans les chaînes input et forward pour déterminer l'interface d'entrée des paquets.

out-interface est utilisé pour définir l'interface par laquelle les paquets sortent du routeur.

Ce paramètre est souvent utilisé dans les chaînes output et forward pour spécifier l'interface de sortie.

Il est également possible de combiner in-interface et out-interface dans une seule règle pour un contrôle plus granulaire, particulièrement dans la chaîne forward où les paquets traversent le routeur d'une interface à une autre.

ACTION

Définit l'opération à effectuer sur les paquets qui correspondent aux critères spécifiés dans la règle.

Ce paramètre est au cœur de la gestion du trafic, permettant de contrôler précisément comment les paquets sont traités une fois qu'ils ont été identifiés comme correspondant à une règle.

Voici les actions possibles :

• Accept

Description: Permet au paquet de passer à travers le pare-feu. C'est l'action à utiliser pour autoriser le trafic.

Utilisation: Utilisée pour autoriser le trafic vers des ports spécifiques, des adresses IP ou des protocoles.

• Drop

Description: Supprime le paquet sans envoyer de réponse au source.

C'est l'action la plus silencieuse pour bloquer le trafic, car elle ne donne aucune indication que le paquet a été bloqué.

Utilisation: Utilisée pour bloquer le trafic indésirable ou potentiellement malveillant, souvent utilisée dans les règles de sécurité pour bloquer les tentatives d'accès non autorisées.

• Reject

Description: Rejette le paquet et envoie une réponse de rejet au source.

Contrairement à drop, reject informe l'expéditeur que sa connexion a été explicitement refusée.

Utilisation: Utilisée quand vous voulez notifier à l'expéditeur que son paquet a été bloqué, utile pour des protocoles qui s'attendent à une réponse même en cas de non-connexion.

• Log

Description: Enregistre des informations sur le paquet correspondant dans le journal du pare-feu.

Cette action est souvent utilisée en conjonction avec une autre action (comme accept ou drop).

Utilisation: Très utile pour le débogage et la surveillance de la sécurité. Les administrateurs utilisent log pour garder une trace des tentatives d'accès ou des anomalies de trafic.

• Redirect

Description: Redirige le paquet vers une autre adresse IP ou un autre port.

Cette action est utile pour la mise en place de serveurs proxy transparents ou des redirections de ports.

Utilisation: Par exemple, rediriger tout le trafic HTTP vers un serveur proxy pour filtrage ou surveillance.

• Tarpit

Description: Retarde la réponse aux connexions TCP en envoyant de très petits morceaux de données, ce qui ralentit l'attaquant sans consommer beaucoup de ressources serveur.

Utilisation: Efficace contre les attaques par déni de service (DoS) car elle peut occuper les attaquants pendant qu'ils tentent de compléter des connexions.