« Proxmox iptables » : différence entre les versions
Autres actions
Page créée avec « = Introduction = Vous n'êtes pas sans savoir qu'iptables est une commande permettant configurer [https://fr.wikipedia.org/wiki/Netfilter ''netfilter''] la partie du noyau chargé du filtrage réseau. Iptables est installé de base sur Proxmox mais, comme Proxmox hérite de Debian, aucune configuration n'est faite et aucun moyen de charger la configuration n'est présent... Si jamais vous voulez plus d'information à ce sujet, je vous invite à lire le cours su... » |
|||
| Ligne 26 : | Ligne 26 : | ||
= Application des règles = | = Application des règles = | ||
Nous allons paramétrer quelques règles de bases, les mêmes qui sont présentes sur une machine Rocky | Nous allons paramétrer quelques règles de bases sur l'interface vmbr0 qui nous sert de management, les mêmes qui sont présentes sur une machine Rocky à l'installation d'iptables, à savoir : | ||
* on autorise tout ce qui fait parti d'une session déjà démarrée | * on autorise tout ce qui fait parti d'une session déjà démarrée | ||
* on autorise tout le trafique sur l'interface de loopback | * on autorise tout le trafique sur l'interface de loopback | ||
| Ligne 33 : | Ligne 33 : | ||
* on ''drop'' tout le reste | * on ''drop'' tout le reste | ||
Et on oublie pas d'ajouter aussi le port de PveProxy (l'interface web), ce qui nous donne: | Et on oublie pas d'ajouter aussi le port de PveProxy (l'interface web) qui est le TCP/8006, ce qui nous donne: | ||
<source lang=bash> | <source lang=bash> | ||
iptables -A INPUT -i vmbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
iptables -A INPUT -i vmbr0 -p icmp -j ACCEPT | |||
iptables -A INPUT -i lo -j ACCEPT | |||
iptables -A INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 8006 -j ACCEPT | |||
iptables -A INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT | |||
iptables -A INPUT -j DROP | |||
</source> | </source> | ||
Version du 30 juin 2026 à 17:01
Introduction
Vous n'êtes pas sans savoir qu'iptables est une commande permettant configurer netfilter la partie du noyau chargé du filtrage réseau. Iptables est installé de base sur Proxmox mais, comme Proxmox hérite de Debian, aucune configuration n'est faite et aucun moyen de charger la configuration n'est présent...
Si jamais vous voulez plus d'information à ce sujet, je vous invite à lire le cours sur les pare-feux ou les différents articles traitant du sujet !
Avant d'aller plus loin, veuillez configurer des noms explicite sur vos interfaces réseaux, dans cet article, l'interface que nous allons sécuriser est l'interface de management.
État des lieux
Vous pouvez voir la configuration en tapant la commande suivante:
# iptables -nvL Chain INPUT (policy ACCEPT 8969 packets, 2422K bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 2885 packets, 1041K bytes) pkts bytes target prot opt in out source destination
Vous pouvez constater que les polices sont sur ACCEPT et qu'aucune règle n'est présente dans la chaîne INPUT. C'est ce que les experts appellent une configuration en mode passoire 😂
Application des règles
Nous allons paramétrer quelques règles de bases sur l'interface vmbr0 qui nous sert de management, les mêmes qui sont présentes sur une machine Rocky à l'installation d'iptables, à savoir :
- on autorise tout ce qui fait parti d'une session déjà démarrée
- on autorise tout le trafique sur l'interface de loopback
- on autorise les messages ICMP (ping)
- on autorise le SSH (TCP/22)
- on drop tout le reste
Et on oublie pas d'ajouter aussi le port de PveProxy (l'interface web) qui est le TCP/8006, ce qui nous donne:
iptables -A INPUT -i vmbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i vmbr0 -p icmp -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 8006 -j ACCEPT iptables -A INPUT -i vmbr0 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT iptables -A INPUT -j DROP