Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:iptables [24-04-2009 13:38] – créée edmc73
+++ linux:iptables [29-03-2016 09:08] (Version actuelle) – edmc73
@@ Ligne 1: / Ligne 1: @@
-===== iptables =====
+====== iptables ======
-==== Commande utile ====
+===== Liens utiles =====
+  * http://lea-linux.org/documentations/Reseau-secu-iptables
+  * http://www.delafond.org/traducmanfr/man/man8/iptables.8.html
+===== Commandes =====
+Les plus courant, consulter le [[http://www.delafond.org/traducmanfr/man/man8/iptables.8.html|man]] pour en savoir plus.
+Les tables ( -t table )
+  * ''filter'' table par défaut contenant les chaînes INPUT, FORWARD et OUTPUT
+  * ''nat'' pour le routage de port contenant les chaines PREROUTING, OUTPUT et POSTROUTING
+  * ''mangle'' (voir doc)
+Les options
+  * ''-A'' ajoute une règle à la fin
+  * ''-I'' insert une règle au début
+  * ''-D'' supprimer une règle
+  * ''-R'' remplace une règle
+  * ''-L'' liste les règles
+Suivi de la chaîne
+  * ''INPUT'', ''FORWARD'', ''OUTPUT''
+  * ''PREROUTING'', ''OUTPUT'', ''POSTROUTING''
+Les paramètres
+  * ''-p'' le protocole : tcp, udp, icmp, all (par défaut)
+  * ''-s'' la source : adresse ip + le masque si on veut
+  * ''--sport(s)'' : le ou les ports source (séparé par une virgule)
+  * ''-d'' la destination : adresse ip + le masque si on veut
+  * ''--dport(s)'' : le ou les ports destination (séparé par une virgule)
+  * ''-i'' interface qui reçoit le paquet
+  * ''-o'' interface qui envoi le paquet
+  * ''-j'' cible du paquet
+    * ''ACCEPT''
+    * ''DROP''
+    * ''REJECT''
+    * ''DNAT/SNAT/MASQUERADE/REDIRECT'' si on fait du nat ( --to-destination ip:port )
+    * ''LOG/MARK'' si on veut loguer/marquer des paquets
+On peut maintenant construire facilement une ligne de commandes
+Pour bloquer une adresse ip en entrée
+  iptables -I INPUT -s 192.168.1.2 -j DROP
+===== Commande utile =====
 Pour savoir ce qu'il y a comme règle iptables
@@ Ligne 18: / Ligne 65: @@
   iptables -v -L -t nat
+Vérifier si le routage dans le noyau est actif
+  cat /proc/sys/net/ipv4/ip_forward
+Si on obtient 1 c'est qu'il est actif, si on obtient 0 c'est qu'il est inactif
 Activer le routage dans le noyau
-  echo 1 > /proc/sys/net/ipv4/ip_forward
+  sysctl -w net.ipv4.ip_forward=1
+Modifiez le fichier **/etc/sysctl.conf** pour que cette option soit activé lors d'un redémarrage. Recherchez la ligne
-==== Exemple ====
+  net.ipv4.ip_forward = 1
+===== Commande pratique =====
+Bloquer une adresse ip
+  iptables -I INPUT -s 111.111.111.111 -j DROP
+-I place la règle au début et donc coupe la connexion, si on met -A la règle s'ajoute à la fin et ne coupe pas la connexion en cours.
+Supprimer cette règle
+  iptables -D INPUT -s 111.111.111.111 -j DROP
+Ou en affichant les numéros de règles et en supprimant via le numéro de la règle
+  iptables -L --line-number
+  iptables -D [table]  [numéro de la règle]
+===== Exemple simple d'une redirection d'un port =====
+Accepter les paquets retransmis via le périphérique d'IP interne du pare-feu permet aux noeuds du LAN de communiquer entre eux. Cependant, ils ne peuvent toujours pas communiquer vers l'extérieur (par exemple, vers l'internet). Pour permettre aux noeuds du LAN avec des adresses IP privées de communiquer avec les réseaux public externes, configurez le pare-feu pour le masquage d'IP, qui masque les requêtes provenant des noeuds du LAN avec l'adresse IP du périphérique externe du pare-feu (dans ce cas, eth0) :
+  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
+Rediriger ce qui rentre sur le port 25 vers une autre machine sur le port 25
+  iptables -A PREROUTING -t nat -p tcp --dport 25 -j DNAT --to xx.xx.xx.xx:25
+===== Exemple =====
 Un serveur 81.81.81.81
@@ Ligne 71: / Ligne 155: @@
 http://www.lea-linux.org/documentations/index.php/Reseau-secu-iptables

Outils pour utilisateurs

Outils du site

Différences

Outils de la page