Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).


L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT → ODT PDF Export

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
doc:reseau:iptables-pare-feu-pour-un-client [03/02/2019 19:06]
Beta-Pictoris
doc:reseau:iptables-pare-feu-pour-un-client [04/05/2019 21:19] (Version actuelle)
Beta-Pictoris
Ligne 256: Ligne 256:
  
 <note important>​ <note important>​
-Depuis debian **Stretch**,​ **conntrack** ne va plus marquer de paquets ​dans l'​état ​**RELATED**,​ sauf pour le protocole **icmp**.\\+Depuis debian **Stretch**,​ **conntrack** ne va plus marquer de paquets ​en **RELATED**,​ sauf pour le protocole **icmp**.\\
 \\ \\
 Par conséquent,​ si vous voulez faire du filtrage sur des paquets dans l'​état **RELATED** pour d'​autres protocoles qu'​**icmp**,​ vous devrez créer une règle particulière,​ de **PREROUTING**,​ dans la table **raw**.\\ Par conséquent,​ si vous voulez faire du filtrage sur des paquets dans l'​état **RELATED** pour d'​autres protocoles qu'​**icmp**,​ vous devrez créer une règle particulière,​ de **PREROUTING**,​ dans la table **raw**.\\
Ligne 264: Ligne 264:
 A noter, la cible de cette règle s'​appelle **CT** (Pour **C**onn**T**rack ?).\\ A noter, la cible de cette règle s'​appelle **CT** (Pour **C**onn**T**rack ?).\\
 \\ \\
-Par exemple, pour le protocole **ftp**, si vous voulez ​qu'une nouvelle connexion **tcp** entrante, vers le port 21 du serveur, puisse permettre une réponse dans l'​état **RELATED** :\\+Par exemple, pour le protocole **ftp**, si vous souhaitez ​qu'une nouvelle connexion **tcp** entrante, vers le port 21 du serveur, puisse permettre une réponse dans l'​état **RELATED** :\\
 \\ \\
 <code root>​iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</​code>​ <code root>​iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</​code>​
Ligne 272: Ligne 272:
 <code root>​iptables -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT</​code>​ <code root>​iptables -A INPUT -p tcp --dport 21 -m conntrack --ctstate NEW -j ACCEPT</​code>​
 \\ \\
-**Conntrack** associera, donc, l'​état **RELATED** ​a une nouvelle connexion ​**tcp**, sortante ​du port 20 du serveur (cas d'un serveur ftp actif) :\\+**Conntrack** associera l'​état **RELATED** ​au nouveau paquet ​**tcp** ​sortant ​du port 20 du serveur (cas d'un serveur ftp actif)
 +Vous devez, donc, autoriser la connexion ​:\\
 <code root>​iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,​ESTABLISHED -j ACCEPT</​code>​ <code root>​iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,​ESTABLISHED -j ACCEPT</​code>​
 \\ \\
doc/reseau/iptables-pare-feu-pour-un-client.1549217201.txt.gz · Dernière modification: 03/02/2019 19:06 par Beta-Pictoris

Pied de page des forums

Propulsé par FluxBB