====== Netfilter ======

Installation du paquet qui ajoute un script de démarrage/flush iptables et qui génère un fichier de config par défaut à la base de ce qui est en place au moment de l'installation.
<code>
apt install netfilter-persistent ulogd2
</code>

Créer ensuite le fichier ''/etc/iptables/rules.v4'' avec la syntaxe de la commande iptables-save.

Créer ses propres règles en commande et ensuite enregistrer la configuration.
<code>
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
</code>

<code>
systemctl status netfilter-persistent
systemctl status ulogd
systemctl start netfilter-persistent
systemctl enable netfilter-persistent
systemctl enable ulogd
</code>

Pour voir la liste des extensions utilisables avec l'option ''-j''.
<code>
man iptables-extensions
</code>


Avec ulogd2, il faut utiliser la chaine -j NFLOG --nflog-prefix.

Le log spécifique pour observer les drop des règles de filtrage est par défaut ici :
<code>
/var/log/ulog/syslogemu.log
</code>

Pour flusher la configuration au stop, il faut lui indiquer sinon par défaut, les règles persistent à l'arrêt du service.
vi /etc/default/netfilter-persistent
<code>
FLUSH_ON_STOP=1
</code>

Redémarrer le service pour prendre en compte le fichier et ensuite on peut restoper.


===== Deprecated Solution avec script perso =====

Création d'un script de démarrage sysV qui appel un script pour positionner les règles lors du start et un autre pour les effacer lors du stop.

Création/récupération des trois fichiers suivants.
<code>
/etc/init.d/iptables
/etc/security/iptables.sh
/etc/security/flush_iptables.sh
</code>

Position des permissions.
<code>
chmod 700 /etc/security/iptables.sh
chmod 700 /etc/security/flush_iptables.sh
chmod 700 /etc/init.d/iptables
</code>

Positionner le service iptables au lancement de la machine.
<code>
insserv -n iptables  (-n = dry run)
insserv iptables
ll /etc/rc2.d
</code>

==== Sous RHEL 6 ====

Accès FTP

Sauvegarder les fichiers Netfilter par défaut.
<code>
cd /etc/sysconfig
cp -p iptables iptables.orig
cp -p iptables-config iptables-config.orig
</code>

Charger le module ip_conntrack_ftp pour activer le suivi de connexion et rendre la configuration Netfilter statefull.
<code>
vi /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_conntrack_ftp"
</code>

Ajouter une ligne supplémentaire pour autoriser les accès FTP.
<code>
vi /etc/sysconfig/iptables

-A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
</code>

Relancer iptables.
<code>
/etc/init.d/iptables restart
</code>