Apprenez à désactiver temporairement le pare-feu iptables sous Linux à des fins de dépannage. Apprenez également comment sauvegarder les politiques et comment les restaurer lorsque vous réactivez le pare-feu.
Parfois, vous avez la nécessité de désactiver le pare-feu iptables pour effectuer un dépannage de connectivité et ensuite vous devez le réactiver. En le faisant, vous voulez également sauvegarder toutes vos politiques de pare-feu. Dans cet article, nous allons vous expliquer comment sauvegarder les politiques de pare-feu et comment désactiver/activer un pare-feu iptables. Pour plus de détails sur le pare-feu iptables et les politiques, lisez notre article à ce sujet.
Sauvegarder les politiques iptables
La première étape tout en désactivant temporairement le pare-feu iptables est de sauvegarder les règles/politiques de pare-feu existantes. La commande iptables-save liste toutes vos politiques existantes que vous pouvez sauvegarder dans un fichier sur votre serveur.
root@kerneltalks # iptables-save# Generated by iptables-save v1.4.21 on Tue Jun 19 09:54:36 2018*nat:PREROUTING ACCEPT :INPUT ACCEPT :OUTPUT ACCEPT :POSTROUTING ACCEPT :DOCKER - ---- output trucated----root@kerneltalks # iptables-save > /root/firewall_rules.backup
Donc iptables-save est la commande avec laquelle vous pouvez prendre la sauvegarde des politiques iptables.
Arrêter/désactiver le pare-feu iptables
Pour les anciens noyaux Linux, vous avez la possibilité d’arrêter le service iptables avec service iptables stop mais si vous êtes sur le nouveau noyau, il suffit d’effacer toutes les politiques et d’autoriser tout le trafic à travers le pare-feu. C’est aussi bien que vous arrêtez le pare-feu.
Utilisez la liste de commandes ci-dessous pour le faire.
root@kerneltalks # iptables -Froot@kerneltalks # iptables -Xroot@kerneltalks # iptables -P INPUT ACCEPTroot@kerneltalks # iptables -P OUTPUT ACCEPTroot@kerneltalks # iptables -P FORWARD ACCEPT
Où –
- -F : Flush toutes les chaînes de politique
- -X : Supprimer les chaînes définies par l’utilisateur
- -P INPUT/OUTPUT/FORWARD : Accepter le trafic spécifié
Une fois fait, vérifiez les politiques de pare-feu actuelles. Il devrait ressembler à ce qui suit, ce qui signifie que tout est accepté (aussi bien que votre pare-feu est désactivé/arrêté)
# iptables -LChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy ACCEPT)target prot opt source destinationChain OUTPUT (policy ACCEPT)target prot opt source destination
Restaurer les politiques de pare-feu
Une fois que vous avez terminé avec le dépannage et que vous voulez réactiver iptables avec toutes ses configurations. Vous devez d’abord restaurer les politiques à partir de la sauvegarde que nous avons prise dans la première étape.
root@kerneltalks # iptables-restore </root/firewall_rules.backup
Démarrer le pare-feu iptables
Et ensuite démarrer le service iptables au cas où vous l’avez arrêté dans l’étape précédente en utilisant service iptables start. Si vous n’avez pas arrêté le service, alors seule la restauration des politiques fera l’affaire pour vous. Vérifiez si toutes les politiques sont de retour dans les configurations du pare-feu iptables :
root@kerneltalks # iptables -LChain INPUT (policy ACCEPT)target prot opt source destinationChain FORWARD (policy DROP)target prot opt source destinationDOCKER-USER all -- anywhere anywhereDOCKER-ISOLATION-STAGE-1 all -- anywhere anywhere-----output truncated-----
C’est tout ! Vous avez réussi à désactiver et à activer le pare-feu sans perdre vos règles de politique.
Désactiver le pare-feu iptables de façon permanente
Pour désactiver iptables de façon permanente, suivez le processus ci-dessous –
- Arrêter le service iptables
- Désactiver le service iptables
- Flush all rules
- Sauvegarder la configuration
Cela peut être réalisé en utilisant l’ensemble de commandes ci-dessous.
root@kerneltalks # systemctl stop iptablesroot@kerneltalks # systemctl disable iptablesroot@kerneltalks # systemctl status iptablesroot@kerneltalks # iptables --flushroot@kerneltalks # service iptables saveroot@kerneltalks # cat /etc/sysconfig/iptables