RangeeOS - Firewall (Pare-feu) avec script iptables
RangeeOS ne fournit pas d’interface graphique pour créer et gérer les règles de pare-feu. Toutefois, si vous le souhaitez, vous pouvez créer n’importe quelle règle à l’aide de l’outil en ligne de commande Linux iptables et les déployer sur différents appareils via le module Scripts.
Prérequis
Le module logiciel scripts, correspondant à la version du firmware, doit être installé sur le client RangeeOS.
Règles du pare-feu
Vous trouverez ici différentes règles permettant d’autoriser uniquement le trafic entrant défini vers RangeeOS au niveau du réseau. Il n’est pas recommandé de bloquer les connexions sortantes côté client..
Réinitialiser par défaut
Supprime toutes les règles existantes :
iptables --flush
Bloquer tous les paquets entrants non explicitement autorisés :
iptables --policy INPUT DROP
Autoriser le maintien des connexions établies (RDP, ICA, VMwareView...):
iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
Autoriser un port / protocole / réseau
Autorise l’accès à la Kommbox via navigateur / TCMS sur le port TCP 443 depuis le 24 emesous-réseau 192.168.255.0/24 :
iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT
Autorise SSH vers le client sur le port TCP 22 depuis l’IP unique 192.168.255.56/32 :
iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT
Autorise VNC vers le client sur le port TCP 5900 depuis le 16eme sous-réseau 192.168.0.0/16 :
iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT
Pour WebVNC depuis Kommbox ou TCMS, autoriser également le port TCP 80 depuis le 16eme sous-réseau 192.168.0.0 /16:
iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT
Autorise ICMP (Ping) depuis n’importe où
iptables --append INPUT --protocol icmp --jump ACCEPT
Créer le script
Accédez dans la Kommbox à Verbindungen & Anwendungen -> Script Konfiguration et créez une Neue Verbindung .
Saisissez les règles dont vous avez besoin (une par ligne) dans le champ Script. Un script contenant toutes les règles des exemples de cette page ressemble à ceci :
#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden iptables --flush iptables --policy INPUT DROP iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT # Erlaube SSH Admin PC iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT # Erlaube VNC iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT # Erlaube PING iptables --append INPUT --protocol icmp --jump ACCEPT
Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
En plus du script, les options suivantes doivent 
être définies dans la connexion :
| Nom de la connexion * | Nom affiché librement choisi pour la connexion |
| Exécuter en tant que root * | activé – Exécute le script avec les droits nécessaires |
| Démarrage automatique | activé – Assure que le pare-feu est activé au démarrage de l’appareil |
| Créer un raccourci sur le bureau | désactivé |
| Créer un raccourci dans le menu démarrer | désactivé |
Le script sera désormais exécuté automatiquement à chaque démarrage de l’appareil avec ces paramètres et activera les règles de pare-feu côté client. Comme toute autre connexion, il peut également être déployé sur d’autres appareils via un groupe TCMS ou un fichier de configuration.