Le filtrage avec iptables


précédentsommairesuivant

16. Interfaces utilisateur graphiques pour iptables/netfilter

Un aspect d'iptables et de netfilter que nous n'avons pas encore vu, est l'interface utilisateur graphique. Un des principaux problèmes avec ces interfaces est que netfilter est très complexe, ce qui peut produire des effets étranges. Pour cette raison, ce peut être une tâche décourageante de créer ce type d'interfaces.

Plusieurs personnes et organismes ont essayé de créer des interfaces graphiques pour netfilter et iptables, certaines avec succès, d'autres ont abandonné après un certain temps. Ce chapitre est une petite compilation de certaines interfaces graphiques qu'il peut être intéressant de regarder.

16-1. fwbuilder

Firewall Builder, ou simplement fwbuilder, est un outil extrêmement souple et puissant qui peut être utilisé pour créer vos propres pare-feux, ou pour maintenir plusieurs pare-feux. Il peut être utilisé pour créer plusieurs stratégies de pare-feux différentes, incluant iptables (Linux 2.4 et 2.6), ipfilter (FreeBSD, NetBSD, etc.), OpenBSD pf et, avec un module qui doit être acheté, Cisco PIX.

Fwbuilder a beaucoup de succès et continue d'être développé. Il fonctionne sur un système hôte séparé, sur lequel vous créez vos fichiers de stratégies, il les copie ensuite et les exécute sur le système cible. Il peut maintenir depuis une simple table de règles jusqu'à de plus importantes et compliquées. Il a également des possibilités d'extensions selon les différentes versions d'iptables, en fonction des cibles/correspondances disponibles sur chaque système, etc. Le résultat peut être sauvegardé dans un fichier xml, ou un fichier de configuration (ex. les scripts pare-feux).

Image non disponible

Vous pouvez voir la « configuration » du pare-feu dans l'exemple suivant, et les principaux menus de fwbuilder. Fwbuilder peut être trouvé sur http://www.fwbuilder.org.

16-2. Projet Turtle Firewall

Turtle Firewall est une excellente, bien que simple, interface pour iptables. Il est intégré dans Webmin (une interface d'administration web). Il est assez basique, et ne peut supporter des modifications complexes comme fwbuilder, mais il est très capable de maintenir des plus simples pare-feux à certains plus avancés.

Un gros avantage avec Turtle Firewall est qu'il est basé sur une interface web, et donc peut être contrôlé à distance d'une manière complètement différente de fwbuilder et de la plupart des autres outils. Bien sûr, il présente plus de risques en termes de sécurité, car Webmin est un service supplémentaire séparé fonctionnant sur le pare-feu lui-même.

Image non disponible

La capture d'écran ci-dessus montre les rubriques de Turtle Firewall, dans lesquelles vous pouvez configurer les interfaces réseau, et d'autres choses.

Image non disponible

La dernière capture d'écran montre l'écran principal de Turtle Firewall, avec les règles en bas de page. L'ensemble des règles n'est pas affiché, comme vous pouvez le voir, mais vous avez une idée générale de son fonctionnement.

16-3. Integrated Secure Communications System

Integrated Secure Communications System, ou en plus court ISCS, est encore en phase de développement, et aucune version publique n'est disponible. Cependant, il semblerait être un outil très utile une fois finalisé. Le développeur a des exigences très élevées, et c'est la principale raison pour laquelle il n'est pas encore terminé. ISCS intègre diverses fonctionnalités dans une seule interface d'administration. De façon basique, ceci indique qu'une fois le projet réalisé, pour pourrez configurer tous vos pare-feux depuis un point centralisé en utilisant une seule interface graphique, incluant les VPN, VLAN, tunnel, syscontrol, etc.

Le but principal du développeur de ISCS est de simplifier l'administration est de supprimer les tâches fastidieuses pour les administrateurs, et ainsi économiser des heures de travail. Ceci est réalisé en joignant les stratégies, ensuite le programme crée les tables de règles et les « envoie » vers des « points d'exécution » (ex. pare-feux, proxies, etc.). L'administrateur n'a pas à écrire les tables de règles, mais simplement définir les stratégies qui seront exécutées par ISCS.

Cet outil n'est pas encore achevé, comme je l'ai écrit. Cependant, j'ai été en contact avec le principal développeur du projet, et c'est réellement un travail très important. Quand il sera fini, je crois qu'il sera un des meilleurs outils du marché. Vous pouvez trouver le projet ISCS sur http://iscs.sourceforge.net/.

Le principal développeur, John Sullivan, m'a dit de demander aux personnes intéressées de l'aider dans le développement. Le projet est très lourd, et il a vraiment besoin d'aide. Si vous êtes capables de le faire, votre aide sera la bienvenue.

16-4. IPMenu

IPMenu est un programme très utile, il est cependant simple à utiliser et ne demande pas trop de ressources ou de bande passante. C'est un programme en mode console, ainsi il fonctionne parfaitement avec une connexion SSH par exemple. Il s'exécute très bien sur des machines possédant un vieux modem.

Comme vous pouvez le voir sur l'image, il contient toutes les fonctionnalités d'iptables, incluant le filtrage, mangle et nat. Il peut aussi maintenir les tables de routage et la bande passante et sauvegarder et restaurer les tables de règles.

Image non disponible

Comme vous l'avez vu dans l'image précédente, le programme est plutôt basique, mais il convient dans la plupart des cas. En premier, il est très simple, et peut être utilisé pour l'administration à distance, et fonctionne avec SSH via une console standard, il est également sécurisé. Vous pouvez trouver le programme sur http://users.pandora.be/stes/?page=page_16#L16-4l.

16-5. Easy Firewall Generator

Easy Firewall Generator est un autre développement intéressant. De façon basique, c'est une page web PHP dans laquelle vous spécifiez les options de votre pare-feu, ensuite la configuration se fait en cliquant sur un bouton, ce qui génère une table de règles iptables que vous pouvez utiliser.

Le script contient toutes les règles de base, avec en plus certaines autres destinées à contenir des modèles insolites dans les paquets. Il contient aussi les modifications sysctl IP spécifiques qui peuvent être nécessaires, le chargement des modules, etc. La table de règles est écrite dans le format init.d de red Hat.

Image non disponible

Cette capture d'écran montre une des étapes finales de la configuration du script du pare-feu créé par le programme. Vous pouvez trouver plus d'informations sur http://easyfwgen.morizot.net/.

16-6. Partie suivante

Dans ce chapitre nous avons vu ce que nous pouvons faire avec certaines interfaces graphiques. Notez qu'il existe beaucoup plus d'interfaces sur le marché. La plupart d'entre elles sont open source et libres d'utilisation, tandis que certaines sont des applications commerciales qui nécessitent d'être achetées pour obtenir un support ou une fonctionnalité complets.


précédentsommairesuivant

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Copyright © 2001-2006 Oskar Andreasson
La permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la « GNU Free Documentation License », version 1.1; en précisant les sections « Introduction » et toutes les sous-sections, avec les en-têtes « Auteur: Oskar Andreasson ». Une copie de la licence est inclue dans la section intitulée « GNU Free Documentation License ».
Tous les scripts de ce tutoriel sont couverts par la GNU General Public License. Les scripts sont de source libre; vous pouvez les redistribuer et/ou les modifier selon les termes de la GNU General Public License publiée par la « Free Software Foundation », version 2.
Ces scripts sont distribués dans l'espoir qu'ils seront utiles, mais SANS AUCUNE GARANTIE; sans même la garantie implicite qu'ils soient VENDABLES ou une QUELCONQUE APTITUDE POUR UN PROPOS PARTICULIER. Voir la GNU General Public License pour plus de détails.
Vous devriez avoir une copie de la GNU General Public License dans ce tutoriel, dans la section intitulée « GNU General Public License »; si ce n'est pas le cas, écrivez à la Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA.