Differences

This shows you the differences between two versions of the page.

--- informatique:linux:netfilter [2016/11/07 10:41] – [Redirection (SNAT, MASQUERADE, DNAT)] pteu
+++ informatique:linux:netfilter [2021/03/18 13:16] (current) – [multiport] pteu
@@ Line 81: / Line 81: @@
 <code bash>
-  Module  	Description  	Options étendues
+Module  	Description  	Options étendues
-  mac 	Vérifie que l'extension correspond pour les paquets entrants sur une adresse mac. 	--mac-source
+mac 	Vérifie que l'extension correspond pour les paquets entrants sur une adresse mac. 	--mac-source
-  state 	Active l'inspection des états 	--state (les états sont ESTABLISHED,RELATED, INVALID, NEW)
+state 	Active l'inspection des états 	--state (les états sont ESTABLISHED,RELATED, INVALID, NEW)
-  limit 	Définit une limite sur le flux 	--limit, --limit-burst
+limit 	Définit une limite sur le flux 	--limit, --limit-burst
-  owner 	Essaie de trouver des correspondances dans le créateur du paquet 	--uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid
+owner 	Essaie de trouver des correspondances dans le créateur du paquet 	--uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid
-  unclean 	Plusieurs tests de vérification aléatoires du bon état des paquets
+unclean 	Plusieurs tests de vérification aléatoires du bon état des paquets
 </code>
+Pour lister les extensions chargées : ''cat /proc/net/ip_tables_matches''
+====cstate / conntrack====
+  * Remplace l'extension state
+  * On peut voir l'état des connexions avec : ''cat /proc/net/ip_conntrack''
+  * il existe un outil en CLI qui permet de manipuler les tables de session : **conntrack**
+<code bash>
+# afficher les connexions SSH ouvertes
+conntrack -L -p tcp --dport 22
+# lister les événements de conntrack en temps réel
+conntrack -E
+# supprimer une session ouverte :
+conntrack -D -s 82.134.19.16 -d 192.168.2.1 -p tcp --orig-port-src 22 --orig-port-dst 55098
+</code>
+====multiport====
+Permet de spécifier une liste de ports non-contigüs et donc de limiter le nombre de ligne de conf.
+<code bash>
+# Ouverture des ports web/HTTPx
+$IPTABLES -A INPUT -p tcp --match multiport --dports 80,443,8080,8443 -j ACCEPT
+# ex2: ouverture des ports 80 et 8080 à 8099
+$IPTABLES -A INPUT -p tcp -m multiport --dports 80,8080-8099 -j ACCEPT
+</code>
 =====Redirection (SNAT, MASQUERADE, DNAT)=====
@@ Line 182: / Line 210: @@
 service iptables save
 # sous d'autres systèmes (e.g. Debian)
-iptables-save
+iptables-save > /etc/iptables-dump
+# NB : pour les recharger ensuite
+iptables-restore < /etc/iptables-dump
 </code>
@@ Line 456: / Line 486: @@
 =====Divers=====
-====conntrack====
-Conntrack est un logiciel qui permet de récupérer et modifier la table de sessions ouvertes depuis l'espace utilisateur.
-Pour récupérer la table des sessions ouvertes :
-  cat /proc/net/ip_conntrack
-Pour supprimer une session :
-  conntrack -D -s 82.134.19.16 -d 192.168.2.1 -p tcp --orig-port-src 22 --orig-port-dst 55098
 ====Classer les logs iptables dans un seul fichier====
@@ Line 487: / Line 508: @@
   * [[http://wiki.rsyslog.com/index.php/Configuration_Samples|wiki rsyslog]]
+====Rotation des logs====
+Pour archiver les logs d'iptables régulèrement, créer le fichier ''/etc/logrotate.d/iptables'' :
+<code bash>
+/var/log/iptables.log {
+# tourner tous les jours
+daily
+missingok
+notifempty
+# compresser les archives
+compress
+# ne pas archiver l'archive la plus récente
+delaycompress
+# suffixer par la date
+dateext
+create 0600 root root
+# redémarrer le syslog pour qu'il écrire dans le nouveau fichier après la rotation
+postrotate
+    #/etc/rc.d/init.d/rsyslog restart ; sleep 5
+    # ou
+    /usr/lib/rsyslog/rsyslog-rotate
+endscript
+}
+</code>
 =====Liens=====
   * [[http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO.txt|Documentation officielle : HOWTO]]
+  * [[https://help.ubuntu.com/community/IptablesHowTo|Ubuntu's iptables HOWTO]]