informatique:linux:netfilter
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
informatique:linux:netfilter [2017/05/04 08:26] – [conntrack] pteu | informatique:linux:netfilter [2021/03/18 13:16] (current) – [multiport] pteu | ||
---|---|---|---|
Line 81: | Line 81: | ||
<code bash> | <code bash> | ||
- | | + | Module |
- | mac Vérifie que l' | + | mac Vérifie que l' |
- | state Active l' | + | state Active l' |
- | limit Définit une limite sur le flux --limit, --limit-burst | + | limit Définit une limite sur le flux --limit, --limit-burst |
- | owner Essaie de trouver des correspondances dans le créateur du paquet --uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid | + | owner Essaie de trouver des correspondances dans le créateur du paquet --uid-owner userid --gid-owner groupid --pid-owner processid --sid-owner sessionid |
- | unclean Plusieurs tests de vérification aléatoires du bon état des paquets | + | unclean Plusieurs tests de vérification aléatoires du bon état des paquets |
</ | </ | ||
- | ====cstate==== | + | Pour lister les extensions chargées : '' |
+ | ====cstate | ||
* Remplace l' | * Remplace l' | ||
* On peut voir l' | * On peut voir l' | ||
- | * il existe un outil en CLI qui permet de manipuler | + | * il existe un outil en CLI qui permet de manipuler |
<code bash> | <code bash> | ||
# afficher les connexions SSH ouvertes | # afficher les connexions SSH ouvertes | ||
Line 100: | Line 101: | ||
# lister les événements de conntrack en temps réel | # lister les événements de conntrack en temps réel | ||
conntrack -E | conntrack -E | ||
+ | |||
+ | # supprimer une session ouverte : | ||
+ | conntrack -D -s 82.134.19.16 -d 192.168.2.1 -p tcp --orig-port-src 22 --orig-port-dst 55098 | ||
+ | </ | ||
+ | | ||
+ | ====multiport==== | ||
+ | |||
+ | Permet de spécifier une liste de ports non-contigüs et donc de limiter le nombre de ligne de conf. | ||
+ | <code bash> | ||
+ | # Ouverture des ports web/HTTPx | ||
+ | $IPTABLES -A INPUT -p tcp --match multiport --dports 80, | ||
+ | # ex2: ouverture des ports 80 et 8080 à 8099 | ||
+ | $IPTABLES -A INPUT -p tcp -m multiport --dports 80, | ||
</ | </ | ||
Line 196: | Line 210: | ||
service iptables save | service iptables save | ||
# sous d' | # sous d' | ||
- | iptables-save | + | iptables-save |
+ | # NB : pour les recharger ensuite | ||
+ | iptables-restore < / | ||
</ | </ | ||
Line 492: | Line 508: | ||
* [[http:// | * [[http:// | ||
+ | |||
+ | ====Rotation des logs==== | ||
+ | |||
+ | Pour archiver les logs d' | ||
+ | <code bash> | ||
+ | / | ||
+ | # tourner tous les jours | ||
+ | daily | ||
+ | missingok | ||
+ | notifempty | ||
+ | # compresser les archives | ||
+ | compress | ||
+ | # ne pas archiver l' | ||
+ | delaycompress | ||
+ | # suffixer par la date | ||
+ | dateext | ||
+ | create 0600 root root | ||
+ | # redémarrer le syslog pour qu'il écrire dans le nouveau fichier après la rotation | ||
+ | postrotate | ||
+ | #/ | ||
+ | # ou | ||
+ | / | ||
+ | endscript | ||
+ | } | ||
+ | </ | ||
=====Liens===== | =====Liens===== | ||
* [[http:// | * [[http:// | ||
+ | * [[https:// |
informatique/linux/netfilter.1493886392.txt.gz · Last modified: 2017/05/04 08:26 by pteu