pteuz Wiki

User Tools

Site Tools

You are here: start » informatique » linux » netfilter
Trace: netfilter
informatique:linux:netfilter

This is an old revision of the document!

Table of Contents

sécurité firewall iptables

Netfilter

Netfilter est le firewall intégré au noyau Linux. Il s'utilise avec la commande iptables (ex ipchains).

Principe

Les options

Option : 	Description :
-A 	Append (ajoute)
-D 	Delete (efface)
-I 	Insert (insère)
-R 	Replace (remplace)
-L 	List (liste)
-F 	Efface toutes les règles dans la ou les chaînes
-Z 	Remet les compteurs à zéro dans une ou plusieurs chaînes
-C 	Teste ce paquet sur une chaîne
-N 	Crée une chaîne définie par l'utilisateur
-X 	Efface une chaîne définie par l'utilisateur
-P 	Change le comportement d'une chaîne sur une cible
-E 	Change le nom d'une chaîne
-p 	Protocole
-s 	Adresse/masque de source
-d 	Adresse/masque de destination
-i 	Nom d'entrée (nom ethernet)
-o 	Nom de sortie (nom ethernet)
-j 	Saute (cible de règle)
-m 	Correspondance étendue (peut utiliser des extensions)
-n 	Sortie numérique de ports et d'adresses
-t 	Table à manipuler
-v 	Mode bavard
-x 	Vérifications étendues (affiche les valeurs exactes)
-f 	Prends uniquement en compte le second fragment ou ceux d'après
-V 	Version du paquet
--line-numbers 	Affiche les numéros de ligne

Les extensions

Module  	Description  	Options étendues
mac 	Vérifie que l'extension correspond pour les paquets entrants sur une adresse mac. 	--mac-source
state 	Active l'inspection des états 	--state (les états sont ESTABLISHED,RELATED, INVALID, NEW)
limit 	Définit une limite sur le flux 	--limit, --limit-burst
owner 	Essaie de trouver des correspondances dans le créateur du paquet 	--uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid
unclean 	Plusieurs tests de vérification aléatoires du bon état des paquets

Redirection

Exemple de redirection du trafic HTTP vers un serveur mandataire (port 3128) : 

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to proxyhost:3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to proxyhost:3128

Exemples

  • Ajoute en première position de la table INPUT :
iptables -I INPUT 1 -p tcp --dport 1165 -j ACCEPT

On accepte les paquets tcp à destination du port 1165

  • Lister les règles en place [dans la table INPUT uniquement] :
iptables -L [INPUT] -n

On peut utiliser l'option -v pour un mode plus verbeux (affiche les connexions actives).

informatique/linux/netfilter.1221726255.txt.gz · Last modified: 2013/10/14 20:54 (external edit)