Aller au contenu
Modifié par Nelson Fogang Dzokam le 2025/11/01 05:37
Afficher les derniers auteurs
1 RangeeOS ne fournit pas d’interface graphique pour créer et gérer les règles de pare-feu. Toutefois, si vous le souhaitez, vous pouvez créer n’importe quelle règle à l’aide de l’outil en ligne de commande Linux// **iptables** //et les déployer sur différents appareils via le module Scripts.
2
3
4 {{toc/}}
5
6 = Prérequis =
7
8 Le module logiciel **scripts**, correspondant à la version du firmware, doit être installé sur le client RangeeOS.
9
10 {{info}}
11 Si le module ne vous est pas proposé dans Mise à jour du logiciel, veuillez contacter notre support à l’adresse suivante : [[Support>>mailto:support@rangee.com]]
12 {{/info}}
13
14 = Règles du pare-feu =
15
16 Vous trouverez ici différentes règles permettant d’autoriser uniquement le trafic entrant défini vers RangeeOS au niveau du réseau. Il n’est pas recommandé de bloquer les connexions sortantes côté client..
17
18 {{info}}
19 Vous trouverez plus d’informations sur l’utilisation de iptables ici :
20
21 * [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]]
22 * [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]]
23 {{/info}}
24
25 == Réinitialiser par défaut ==
26
27 **Supprime toutes les règles existantes :**
28
29 {{{iptables --flush}}}
30
31 **~ Bloquer tous les paquets entrants non explicitement autorisés :**
32
33 {{{iptables --policy INPUT DROP}}}
34
35 **Autoriser le maintien des connexions établies (RDP, ICA, VMwareView...):**
36
37 {{{iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT}}}
38
39 == Autoriser un port / protocole / réseau ==
40
41 Autorise l’accès à la Kommbox via navigateur / TCMS sur le port TCP 443 depuis le 24 emesous-réseau 192.168.255.0/24 :
42
43 {{{iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}}
44
45 **Autorise SSH vers le client sur le port TCP 22 depuis l’IP unique 192.168.255.56/32 :**
46
47 {{{iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}}
48
49 **Autorise VNC vers le client sur le port TCP 5900 depuis le 16eme sous-réseau  192.168.0.0/16 :**
50
51 {{{iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}}
52
53 **Pour WebVNC depuis Kommbox ou TCMS, autoriser également le port TCP 80 depuis le 16eme sous-réseau  192.168.0.0 /16:**
54
55 {{{iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}}
56
57 **Autorise ICMP (Ping) depuis n’importe où **
58
59 {{{iptables --append INPUT --protocol icmp --jump ACCEPT}}}
60
61 = Créer le script =
62
63 {{warning}}
64 Avant d’exécuter les règles automatiquement via un script, il est recommandé de les tester manuellement via SSH ou la console root. Vous trouverez des informations sur l’accès au terminal Linux ici :
65
66 * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]]
67 * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]]
68 * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]]
69 {{/warning}}
70
71 Accédez dans la Kommbox à {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} et créez une {{status title="Neue Verbindung"/}} .
72
73 Saisissez les règles dont vous avez besoin (une par ligne) dans le champ **Script**. Un script contenant toutes les règles des exemples de cette page ressemble à ceci :
74
75 {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden
76 iptables --flush
77 iptables --policy INPUT DROP
78 iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT
79 iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT
80
81 # Erlaube SSH Admin PC
82 iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT
83
84 # Erlaube VNC
85 iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT
86 iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT
87
88 # Erlaube PING
89 iptables --append INPUT --protocol icmp --jump ACCEPT}}}
90
91 Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden:
92
93 En plus du script, les options suivantes doivent (*) être définies dans la connexion :
94
95 (% style="width:1934.5px" %)
96 |(% style="width:584.5px" %)Nom de la connexion *|(% style="width:921.5px" %)Nom affiché librement choisi pour la connexion
97 |(% style="width:584.5px" %)Exécuter en tant que root *|(% style="width:921.5px" %)activé – Exécute le script avec les droits nécessaires
98 |(% style="width:584.5px" %)Démarrage automatique |(% style="width:921.5px" %)activé – Assure que le pare-feu est activé au démarrage de l’appareil
99 |(% style="width:584.5px" %)Créer un raccourci sur le bureau|(% style="width:921.5px" %)désactivé
100 |(% style="width:584.5px" %)Créer un raccourci dans le menu démarrer|(% style="width:921.5px" %)désactivé
101
102 [[image:RangeeOS-Firewall.png||height="498" width="600"]]
103
104 Le script sera désormais exécuté automatiquement à chaque démarrage de l’appareil avec ces paramètres et activera les règles de pare-feu côté client. Comme toute autre connexion, il peut également être déployé sur d’autres appareils via un groupe TCMS ou un fichier de configuration.