Comment vérifier si une règle de pare-feu est définie sous Linux

Introduction

Dans ce laboratoire, vous apprendrez à vérifier l'état du pare-feu et à lister les règles de pare-feu actives sur un système Linux. Vous commencerez par utiliser la commande conviviale ufw pour vérifier l'état global du pare-feu.

Ensuite, vous plongerez dans l'outil sous-jacent iptables pour afficher les règles de filtrage de paquets détaillées actuellement en vigueur. Enfin, vous explorerez nftables, un remplacement moderne pour iptables, pour vérifier l'ensemble de règles. Ce laboratoire vous fournira des compétences pratiques pour comprendre et inspecter les configurations de pare-feu sous Linux.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/UserandGroupManagementGroup(["User and Group Management"]) linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux(("Linux")) -.-> linux/BasicSystemCommandsGroup(["Basic System Commands"]) linux/BasicSystemCommandsGroup -.-> linux/help("Command Assistance") linux/BasicSystemCommandsGroup -.-> linux/man("Manual Access") linux/UserandGroupManagementGroup -.-> linux/sudo("Privilege Granting") linux/RemoteAccessandNetworkingGroup -.-> linux/ifconfig("Network Configuring") linux/RemoteAccessandNetworkingGroup -.-> linux/netstat("Network Monitoring") linux/RemoteAccessandNetworkingGroup -.-> linux/ip("IP Managing") subgraph Lab Skills linux/help -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} linux/man -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} linux/sudo -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} linux/ifconfig -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} linux/netstat -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} linux/ip -.-> lab-558716{{"Comment vérifier si une règle de pare-feu est définie sous Linux"}} end

Afficher l'état du pare-feu avec ufw status

Dans cette étape, vous apprendrez à vérifier l'état du pare-feu sur votre système Linux en utilisant la commande ufw. ufw signifie "Uncomplicated Firewall" (Pare-feu simple) et est une interface conviviale pour gérer iptables.

Les pare-feu sont essentiels pour la sécurité du réseau. Ils contrôlent le trafic réseau entrant et sortant en fonction d'un ensemble de règles. Par défaut, l'environnement LabEx peut avoir ufw installé mais inactif.

Pour vérifier l'état du pare-feu ufw, ouvrez votre terminal et tapez la commande suivante :

sudo ufw status

Appuyez sur Entrée.

Vous verrez probablement une sortie similaire à celle-ci :

Status: inactive

Cette sortie indique que le pare-feu ufw n'est actuellement pas actif sur le système. S'il était actif, vous verriez une liste des règles actuellement appliquées.

La commande sudo est utilisée ici car la vérification de l'état du pare-feu nécessite des privilèges d'administrateur. Comme mentionné précédemment, l'utilisateur labex a accès à sudo sans avoir besoin de mot de passe dans cet environnement.

Comprendre l'état du pare-feu est la première étape de la gestion de la sécurité du réseau. Dans les étapes suivantes, vous explorerez d'autres outils comme iptables et nftables pour mieux comprendre le fonctionnement des pare-feu sous Linux.

Cliquez sur Continuer pour passer à l'étape suivante.

Lister les règles iptables actives avec iptables -L

Dans cette étape, vous apprendrez à afficher les règles de pare-feu actives en utilisant la commande iptables. Alors que ufw offre une interface simplifiée, iptables est l'outil sous-jacent qui gère les règles de filtrage de paquets du noyau Linux.

iptables fonctionne en définissant des règles dans différentes "chaînes" (chains) et "tables". Les chaînes les plus courantes sont INPUT (pour le trafic entrant), OUTPUT (pour le trafic sortant) et FORWARD (pour le trafic traversant le système).

Pour lister les règles iptables actuelles dans toutes les chaînes, ouvrez votre terminal et tapez la commande suivante :

sudo iptables -L

Appuyez sur Entrée.

Vous verrez une sortie similaire à celle-ci, qui montre les règles pour les chaînes INPUT, FORWARD et OUTPUT :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

La sortie montre la politique par défaut pour chaque chaîne (dans ce cas, ACCEPT, ce qui signifie que le trafic est autorisé par défaut) et toutes les règles spécifiques qui ont été ajoutées. Étant donné que ufw était inactif à l'étape précédente, iptables n'a probablement pas de règles personnalisées configurées par ufw.

L'option -L indique à iptables de lister les règles. Encore une fois, sudo est requis car la visualisation des règles de pare-feu nécessite des privilèges d'administrateur.

Comprendre la sortie de iptables -L est crucial pour diagnostiquer les problèmes de connectivité réseau et vérifier les configurations de pare-feu.

Cliquez sur Continuer pour passer à l'étape suivante.

Vérifier les règles à l'aide de nft list ruleset

Dans cette étape, vous allez explorer nftables, le successeur de iptables. nftables offre un cadre plus flexible et unifié pour le filtrage de paquets et la traduction d'adresses réseau (NAT - Network Address Translation). Bien que iptables soit toujours largement utilisé, nftables devient le standard par défaut sur les nouvelles distributions Linux.

Vous pouvez afficher l'ensemble de règles actif de nftables en utilisant la commande nft avec l'option list ruleset.

Ouvrez votre terminal et tapez la commande suivante :

sudo nft list ruleset

Appuyez sur Entrée.

Vous verrez une sortie similaire à celle-ci, qui montre la configuration actuelle de nftables :

table ip filter {
	chain INPUT {
		type filter hook input priority 0; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority 0; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority 0; policy accept;
	}
}

Cette sortie montre la table de filtrage par défaut avec les chaînes INPUT, FORWARD et OUTPUT, similairement à iptables. La directive policy accept indique que le trafic est autorisé par défaut dans ces chaînes.

La commande nft est l'outil principal pour interagir avec nftables. L'option list ruleset affiche l'ensemble des règles actives. Encore une fois, sudo est nécessaire pour afficher la configuration du pare-feu.

Comparer la sortie de iptables -L et de nft list ruleset peut parfois révéler des différences si les deux sont configurés ou si l'un gère des règles que l'autre ne contrôle pas directement. Dans une configuration typique, l'un des systèmes (iptables ou nftables) sera le gestionnaire de pare-feu principal.

Vous avez maintenant appris à vérifier l'état de ufw, à lister les règles iptables et à afficher l'ensemble de règles de nftables. Ce sont des compétences fondamentales pour comprendre et gérer les pare-feu sous Linux.

Cliquez sur Continuer pour terminer ce laboratoire.

Résumé

Dans ce laboratoire, vous avez appris à vérifier l'état du pare-feu sur un système Linux en utilisant différents outils. Vous avez commencé par utiliser sudo ufw status pour déterminer si le pare-feu Uncomplicated Firewall (UFW) est actif, qui offre une interface conviviale pour gérer les règles de pare-feu.

Ensuite, vous avez exploré l'outil sous-jacent iptables en utilisant sudo iptables -L pour lister les règles de filtrage de paquets actives dans diverses chaînes telles que INPUT, OUTPUT et FORWARD. Cela a fourni une vue plus détaillée de la configuration du pare-feu. Enfin, vous avez généralement vérifié les règles en utilisant nft list ruleset pour comprendre comment le nouveau cadre nftables gère les règles de pare-feu, offrant une alternative moderne à iptables.