Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 13:53] Beta-Pictoris |
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 14:18] Beta-Pictoris |
||
---|---|---|---|
Ligne 243: | Ligne 243: | ||
* NEW : signifie que le paquet a commencé une nouvelle connexion | * NEW : signifie que le paquet a commencé une nouvelle connexion | ||
* ESTABLISHED : ce qui signifie que le paquet est associé à une connexion qui a vu les paquets dans les deux sens. | * ESTABLISHED : ce qui signifie que le paquet est associé à une connexion qui a vu les paquets dans les deux sens. | ||
- | * RELATED : signifie que le paquet commence une nouvelle connexion, mais est associé à une connexion existante, telle qu'un transfère de données FTP, ou une erreur ICMP. | + | * RELATED : signifie que le paquet commence une nouvelle connexion (comme l'état NEW), mais est associé à une connexion existante, commencée, en général, sur un autre port ou avec un autre protocole réseau. L'état RELATED ne s'applique que pour des protocoles réseaux bien précis (amanda, ftp, h323, irc, netbios, pptp, sane, sip, tftp). |
* UNTRACKED : signifie que le paquet n'est pas suivi du tout. | * UNTRACKED : signifie que le paquet n'est pas suivi du tout. | ||
* SNAT : Un état virtuel, le paquet correspond si l'adresse source diffère la réponse de destination. | * SNAT : Un état virtuel, le paquet correspond si l'adresse source diffère la réponse de destination. | ||
Ligne 252: | Ligne 252: | ||
* CONFIRMED : Connexion est confirmée | * CONFIRMED : Connexion est confirmée | ||
+ | <note tip>Depuis debian stretch, conntrack va étiqueter des paquets comme étant dans l'ETAT RELTATED que pour le protocole icmp.( Module nf_conntrack_ipv4 est chargé automatiquement). | ||
+ | Pour les autres protocoles, il faudra ajouter une règle raw pour charger le module adéquat et activer la prise en charge de l'état RELATED. Par exemple, pour le protocole ftp: | ||
+ | iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</note> | ||
Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! | Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! |