Bonjour,
Je me suis basé sur le tuto https://www.informatique-astuces.com/installer-un-firewall-sur-debian pour paramétrer le parefeu de ma Debian Stretch flambant neuve.
Voici le script parefeu que j’ai placé dans /etc/init.d/ :
### BEGIN INIT INFO
# Provides: firewall
# Required-Start:
# Required-Stop:
# Default-Start: 2 3 4 5
# Default-Stop: 0 1 6
# Short-Description: Demarrage du script lors de la sequence de boot
# Description: Ajout des regles de parefeu
### END INIT INFO
#!/bin/sh
case "$1" in
start)
echo - Initialisation du firewall :
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
# Interdire toutes connexions entrantes et sortantes
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Interdire toutes les connexions entrantes et sortantes : [OK]
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Conservation des connexions établies : [OK]
########## Regles ##########
# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
# Autoriser le ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
# Autoriser SSH pour client sur LAN
iptables -t filter -A INPUT -s 192.168.1.73 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -s 192.168.1.73 -p tcp --dport 22 -j ACCEPT
# Autoriser SSH (désactivé)
#iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
# Autoriser DNS
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
# Autoriser NTP (désactivé)
#iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
# Autoriser FTP
modprobe ip_conntrack_ftp
iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autoriser HTTP et HTTPS
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
# Autoriser POP3 (désactivé)
#iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
# Autoriser SMTP (désactivé)
#iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
# Autoriser IMAP (désactivé)
#iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT
# Autoriser POP3S (désactivé)
#iptables -t filter -A INPUT -p tcp --dport 995 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp --dport 995 -j ACCEPT
echo - Initialisation des regles : [OK]
;;
status)
echo - Liste des regles :
iptables -n -L
;;
stop)
# Vidage des tables et des regles personnelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage des regles et des tables : [OK]
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo - Autoriser toutes les connexions entrantes et sortantes : [OK]
;;
esac
exit 0
Et que j’ai rendu exécutable avec la commande :
chmod +x /etc/init.d/parefeu
Je l’ai testé avec :
/etc/init.d/parefeu start
et il me convient
Pour l’intégrer à la séquence de boot, j’ai utilisé :
update-rc.d parefeu defaults
Mais au boot le message suivant s’affiche systématiquement :
Failed to start LSB : Demarrage du script lors de la sequence de boot
See systemctl status parefeu service for details
Et systemctl status parefeu service m’indique:
Unit service.service could not be found.
● parefeu.service - LSB: Demarrage du script lors de la sequence de boot
Loaded: loaded (/etc/init.d/parefeu; generated; vendor preset: enabled)
Active: failed (Result: exit-code) since Wed 2017-11-29 13:52:30 CET; 1h 0min ago
Docs: man:systemd-sysv-generator(8)
Process: 437 ExecStart=/etc/init.d/parefeu start (code=exited, status=203/EXEC)
Pourriez-vous m’aider à résoudre le problème ?
Merci