Code source wiki de RangeeOS - Firewall mit ipables Skript
Modifié par Nelson Fogang Dzokam le 2025/11/01 05:37
Masquer les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
 |
18.1 | 1 | RangeeOS ne fournit pas d’interface graphique pour créer et gérer les règles de pare-feu. Toutefois, si vous le souhaitez, vous pouvez créer n’importe quelle règle à l’aide de l’outil en ligne de commande Linux// **iptables** //et les déployer sur différents appareils via le module Scripts. |
| |
2.1 | 2 | |
| |
18.1 | 3 | |
| |
10.1 | 4 | {{toc/}} |
| 5 | |||
| |
18.1 | 6 | = Prérequis = |
| |
2.1 | 7 | |
| |
18.1 | 8 | Le module logiciel **scripts**, correspondant à la version du firmware, doit être installé sur le client RangeeOS. |
| |
2.1 | 9 | |
| 10 | {{info}} | ||
| |
18.1 | 11 | Si le module ne vous est pas proposé dans Mise à jour du logiciel, veuillez contacter notre support à l’adresse suivante : [[Support>>mailto:support@rangee.com]] |
| |
2.1 | 12 | {{/info}} |
| 13 | |||
| |
18.1 | 14 | = Règles du pare-feu = |
| |
2.1 | 15 | |
| |
18.1 | 16 | Vous trouverez ici différentes règles permettant d’autoriser uniquement le trafic entrant défini vers RangeeOS au niveau du réseau. Il n’est pas recommandé de bloquer les connexions sortantes côté client.. |
| |
2.1 | 17 | |
| |
14.1 | 18 | {{info}} |
| |
18.1 | 19 | Vous trouverez plus d’informations sur l’utilisation de iptables ici : |
| |
9.1 | 20 | |
| |
15.1 | 21 | * [[https:~~/~~/linux.die.net/man/8/iptables>>url:https://linux.die.net/man/8/iptables]] |
| |
14.1 | 22 | * [[https:~~/~~/wiki.ubuntuusers.de/iptables/>>url:https://wiki.ubuntuusers.de/iptables/]] |
| 23 | {{/info}} | ||
| 24 | |||
| |
18.1 | 25 | == Réinitialiser par défaut == |
| |
2.1 | 26 | |
| |
18.1 | 27 | **Supprime toutes les règles existantes :** |
| |
9.1 | 28 | |
| |
12.1 | 29 | {{{iptables --flush}}} |
| |
9.1 | 30 | |
| |
18.1 | 31 | **~ Bloquer tous les paquets entrants non explicitement autorisés :** |
| |
2.1 | 32 | |
| |
12.1 | 33 | {{{iptables --policy INPUT DROP}}} |
| |
2.1 | 34 | |
| |
18.1 | 35 | **Autoriser le maintien des connexions établies (RDP, ICA, VMwareView...):** |
| |
2.1 | 36 | |
| |
12.1 | 37 | {{{iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT}}} |
| |
2.1 | 38 | |
| |
18.1 | 39 | == Autoriser un port / protocole / réseau == |
| |
2.1 | 40 | |
| |
18.1 | 41 | Autorise l’accès à la Kommbox via navigateur / TCMS sur le port TCP 443 depuis le 24 emesous-réseau 192.168.255.0/24 : |
| |
2.1 | 42 | |
| |
13.1 | 43 | {{{iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT}}} |
| |
2.1 | 44 | |
| |
18.1 | 45 | **Autorise SSH vers le client sur le port TCP 22 depuis l’IP unique 192.168.255.56/32 :** |
| |
2.1 | 46 | |
| |
13.1 | 47 | {{{iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT}}} |
| |
2.1 | 48 | |
| |
18.1 | 49 | **Autorise VNC vers le client sur le port TCP 5900 depuis le 16eme sous-réseau 192.168.0.0/16 :** |
| |
2.1 | 50 | |
| |
13.1 | 51 | {{{iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT}}} |
| |
2.1 | 52 | |
| |
18.1 | 53 | **Pour WebVNC depuis Kommbox ou TCMS, autoriser également le port TCP 80 depuis le 16eme sous-réseau 192.168.0.0 /16:** |
| |
2.1 | 54 | |
| |
13.1 | 55 | {{{iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT}}} |
| |
2.1 | 56 | |
| |
18.1 | 57 | **Autorise ICMP (Ping) depuis n’importe où ** |
| |
2.1 | 58 | |
| |
12.1 | 59 | {{{iptables --append INPUT --protocol icmp --jump ACCEPT}}} |
| |
2.1 | 60 | |
| |
18.1 | 61 | = Créer le script = |
| |
2.1 | 62 | |
| 63 | {{warning}} | ||
| |
18.1 | 64 | Avant d’exécuter les règles automatiquement via un script, il est recommandé de les tester manuellement via SSH ou la console root. Vous trouverez des informations sur l’accès au terminal Linux ici : |
| |
2.1 | 65 | |
| 66 | * [[Root-Terminal Passwort>>doc:Handbuecher.Handbuch11.Kapitel 3 - Administration des Clients.3\.C Benutzereinstellungen.3\.C\.A\. Root-Terminal-Passwort]] | ||
| 67 | * [[Remote Access via SSH>>doc:Handbuecher.Handbuch11.Kapitel 4 - Erweiterte Administration.4\.C\. Remote Access via SSH.WebHome]] | ||
| 68 | * [[Hotkeys (lokales Terminal öffnen)>>doc:Handbuecher.Handbuch11.Kapitel 2 - Getting Started.2\.B\. Hotkeys.WebHome]] | ||
| 69 | {{/warning}} | ||
| 70 | |||
| |
18.1 | 71 | Accédez dans la Kommbox à {{status title="Verbindungen & Anwendungen"/}} -> {{status title="Script Konfiguration"/}} et créez une {{status title="Neue Verbindung"/}} . |
| |
2.1 | 72 | |
| |
18.1 | 73 | Saisissez les règles dont vous avez besoin (une par ligne) dans le champ **Script**. Un script contenant toutes les règles des exemples de cette page ressemble à ceci : |
| |
2.1 | 74 | |
| 75 | {{{#Zeilen welche mit '#' beginnen werden nicht ausgewertet und können als Kommentare verwendet werden | ||
| |
12.1 | 76 | iptables --flush |
| 77 | iptables --policy INPUT DROP | ||
| 78 | iptables --append INPUT --match state --state RELATED,ESTABLISHED --jump ACCEPT | ||
| |
13.1 | 79 | iptables --append INPUT --protocol tcp --destination-port 443 --source 192.168.255.0/24 --jump ACCEPT |
| |
2.1 | 80 | |
| 81 | # Erlaube SSH Admin PC | ||
| |
13.1 | 82 | iptables --append INPUT --protocol tcp --destination-port 22 --source 192.168.255.56/32 --jump ACCEPT |
| |
2.1 | 83 | |
| 84 | # Erlaube VNC | ||
| |
13.1 | 85 | iptables --append INPUT --protocol tcp --destination-port 5900 --source 192.168.0.0/16 --jump ACCEPT |
| 86 | iptables --append INPUT --protocol tcp --destination-port 80 --source 192.168.0.0/16 --jump ACCEPT | ||
| |
2.1 | 87 | |
| 88 | # Erlaube PING | ||
| |
12.1 | 89 | iptables --append INPUT --protocol icmp --jump ACCEPT}}} |
| |
2.1 | 90 | |
| 91 | Zusätzlich zum Skript sollten (* = müssen) folgende Optionen in der Verbindung definiert werden: | ||
| 92 | |||
| |
18.1 | 93 | En plus du script, les options suivantes doivent (*) être définies dans la connexion : |
| 94 | |||
| |
17.1 | 95 | (% style="width:1934.5px" %) |
| |
18.1 | 96 | |(% style="width:584.5px" %)Nom de la connexion *|(% style="width:921.5px" %)Nom affiché librement choisi pour la connexion |
| 97 | |(% style="width:584.5px" %)Exécuter en tant que root *|(% style="width:921.5px" %)activé – Exécute le script avec les droits nécessaires | ||
| 98 | |(% style="width:584.5px" %)Démarrage automatique |(% style="width:921.5px" %)activé – Assure que le pare-feu est activé au démarrage de l’appareil | ||
| 99 | |(% style="width:584.5px" %)Créer un raccourci sur le bureau|(% style="width:921.5px" %)désactivé | ||
| 100 | |(% style="width:584.5px" %)Créer un raccourci dans le menu démarrer|(% style="width:921.5px" %)désactivé | ||
| |
17.1 | 101 | |
| 102 | [[image:RangeeOS-Firewall.png||height="498" width="600"]] | ||
| 103 | |||
| |
18.1 | 104 | Le script sera désormais exécuté automatiquement à chaque démarrage de l’appareil avec ces paramètres et activera les règles de pare-feu côté client. Comme toute autre connexion, il peut également être déployé sur d’autres appareils via un groupe TCMS ou un fichier de configuration. |