Voulant avoir une série de règles simples et puissantes pour iptables, je suis tombé sur cet article du Brakablog.
Même si le tutoriel est à l’origine pour Ubuntu, je l’adapte, pour ArchLinux. Je précise qu’est pour le cas le plus simple, une machine seule connectée à une « box » ou un modem en connexion directe à l’internet.
On commence par installer iptables :
yaourt -S iptables
Ensuite, en mode root, on rentre les règles suivantes, merci à Brakbabord pour les infos :
##On remet le firewall à Zéro ##
iptables -F
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
Le loopback (boucle locale) est indispensable pour des logiciels qui refusent de démarrer sinon, comme Miro
## On accepte loopback ##
iptables -A INPUT -i lo -j ACCEPT
Et le reste des règles :
## On accepte uniquement les connexion désirées ##
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
## On refuse le reste ##
iptables -A INPUT -j drop
Si l’on a pas besoin de l’IP forwarding, dans le fichier /etc/conf.d/iptables, il faut dans la ligne IPTABLES_FORWARD mettre la valeur 0 qui désactive le Forwarding d’IP
Enfin, on sauve les règles, puis on lance le service du pare-feu, soit en root, soit via sudo :
/etc/rc.d/iptables save
/etc/rc.d/iptables start
Et pour lancer iptables au démarrage, il faut rajouter iptables à la ligne DAEMONS du fichier /etc/rc.conf, bien entendu après le daemon qui lance la connexion réseau.
De quoi avoir une protection « parfaite » sur les sites de tests de pare-feux 😉