iptables - Maîtriser le filtrage réseau sous Linux

Objectifs d'apprentissage

• Comprendre le rôle et le fonctionnement d'iptables dans la sécurisation des réseaux
• Maîtriser les commandes de base pour configurer les règles de filtrage
• Apprendre à créer, modifier et supprimer des règles de pare-feu
• Savoir gérer les chaînes (INPUT, OUTPUT, FORWARD) et les politiques par défaut
• Configurer des règles pour autoriser ou bloquer du trafic spécifique (ports, adresses IP, protocoles)
• Implémenter des mécanismes de translation d'adresses (NAT) avec iptables

Public cible

Ce cours s'adresse aux administrateurs systèmes et réseaux, aux professionnels de la cybersécurité, ainsi qu'aux étudiants en informatique souhaitant acquérir des compétences pratiques en gestion de pare-feu sous Linux. Une connaissance de base des réseaux TCP/IP et de l'interface en ligne de commande Linux est recommandée.

Introduction à iptables

Nous avons vu qu’une des méthodes fondamentales de sécurisation des réseaux informatiques est le filtrage des paquets. Maintenant que nous en connaissons le principe, voyons comment le mettre en place. Iptables est l'outil standard de filtrage de paquets intégré aux noyaux Linux. Il permet de définir des règles pour contrôler le trafic entrant, sortant et transitant par une machine Linux.

Architecture d'iptables

Iptables fonctionne avec un système de tables (filter, nat, mangle) contenant des chaînes de règles. La table filter est utilisée par défaut pour le filtrage classique. Les principales chaînes sont :

• INPUT : Trafic destiné à la machine locale
• OUTPUT : Trafic émanant de la machine
• FORWARD : Trafic transitant par la machine (pour le routage)

Commandes fondamentales

La syntaxe de base d'iptables est : iptables [option] chaîne règle [action]. Par exemple :

• iptables -A INPUT -p tcp --dport 22 -j ACCEPT (autoriser SSH)
• iptables -P INPUT DROP (politique par défaut DROP)
• iptables -L -v (lister les règles)

Cas pratiques

Pour sécuriser un serveur web :

1. Bloquer tout le trafic entrant par défaut
2. Autoriser uniquement les ports HTTP (80), HTTPS (443) et SSH (22)
3. Limiter les connexions SSH pour prévenir les attaques par force brute
4. Journaliser les paquets rejetés pour le débogage

Persistance des règles

Les règles iptables sont volatiles (perdues au redémarrage). Pour les sauvegarder :

• Debian/Ubuntu : iptables-save > /etc/iptables.rules
• CentOS/RHEL : service iptables save

Bonnes pratiques

• Toujours configurer les politiques par défaut avant d'ajouter des règles
• Documenter les règles complexes avec des commentaires (-m comment --comment)
• Tester les règles sur une machine non critique avant déploiement
• Utiliser des scripts pour une gestion centralisée des règles

Alternatives modernes

Bien qu'iptables reste largement utilisé, des alternatives comme nftables (successeur officiel) ou firewalld offrent une syntaxe plus moderne et des fonctionnalités avancées. Cependant, la maîtrise d'iptables reste indispensable pour administrer des systèmes Linux.