informatique:linux:netfilter
This is an old revision of the document!
Table of Contents
sécurité firewall iptables
Netfilter
Netfilter est le firewall intégré au noyau Linux. Il s'utilise avec la commande iptables
(ex ipchains
).
Principe
Les options
Option : Description : -A Append (ajoute) -D Delete (efface) -I Insert (insère) -R Replace (remplace) -L List (liste) -F Efface toutes les règles dans la ou les chaînes -Z Remet les compteurs à zéro dans une ou plusieurs chaînes -C Teste ce paquet sur une chaîne -N Crée une chaîne définie par l'utilisateur -X Efface une chaîne définie par l'utilisateur -P Change le comportement d'une chaîne sur une cible -E Change le nom d'une chaîne -p Protocole -s Adresse/masque de source -d Adresse/masque de destination -i Nom d'entrée (nom ethernet) -o Nom de sortie (nom ethernet) -j Saute (cible de règle) -m Correspondance étendue (peut utiliser des extensions) -n Sortie numérique de ports et d'adresses -t Table à manipuler -v Mode bavard -x Vérifications étendues (affiche les valeurs exactes) -f Prends uniquement en compte le second fragment ou ceux d'après -V Version du paquet --line-numbers Affiche les numéros de ligne
Les extensions
Module Description Options étendues mac Vérifie que l'extension correspond pour les paquets entrants sur une adresse mac. --mac-source state Active l'inspection des états --state (les états sont ESTABLISHED,RELATED, INVALID, NEW) limit Définit une limite sur le flux --limit, --limit-burst owner Essaie de trouver des correspondances dans le créateur du paquet --uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid unclean Plusieurs tests de vérification aléatoires du bon état des paquets
Redirection
Exemple de redirection du trafic HTTP vers un serveur mandataire (port 3128) :
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to proxyhost:3128 iptables -t nat -A PREROUTING -p tcp --dport 443 -j DNAT --to proxyhost:3128
Exemples
- Ajoute en première position de la table INPUT :
iptables -I INPUT 1 -p tcp --dport 1165 -j ACCEPT
On accepte les paquets tcp à destination du port 1165
- Lister les règles en place [dans la table INPUT uniquement] :
iptables -L [INPUT] -n
On peut utiliser l'option -v pour un mode plus verbeux (affiche les connexions actives).
informatique/linux/netfilter.1221726255.txt.gz · Last modified: 2013/10/14 20:54 (external edit)