Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 14:18] Beta-Pictoris |
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 14:28] Beta-Pictoris |
||
|---|---|---|---|
| Ligne 228: | Ligne 228: | ||
| </code> | </code> | ||
| - | <note> | + | |
| - | **Signification de ces commandes** :\\ | + | ===Signification de ces commandes=== |
| Autorise un paquet passant par la chaîne (OUTPUT|INPUT), par protocole de transport udp sur le port 53 (''--dport'' : port de destination | ''--sport'' : port source ), et pour udp utilisation du module "conntrack", selon l'état de la connexion (NEW, demande de nouvelle connexion, RELATED, nouvelle demande mais en rapport avec une connexion déjà initiée et ESTABLISHED, en relation à une demande pour une connexion déjà initiée). | Autorise un paquet passant par la chaîne (OUTPUT|INPUT), par protocole de transport udp sur le port 53 (''--dport'' : port de destination | ''--sport'' : port source ), et pour udp utilisation du module "conntrack", selon l'état de la connexion (NEW, demande de nouvelle connexion, RELATED, nouvelle demande mais en rapport avec une connexion déjà initiée et ESTABLISHED, en relation à une demande pour une connexion déjà initiée). | ||
| Ligne 252: | Ligne 252: | ||
| * CONFIRMED : Connexion est confirmée | * CONFIRMED : Connexion est confirmée | ||
| - | <note tip>Depuis debian stretch, conntrack va étiqueter des paquets comme étant dans l'ETAT RELTATED que pour le protocole icmp.( Module nf_conntrack_ipv4 est chargé automatiquement). | + | <note important>Depuis debian stretch, **conntrack** va étiqueter des paquets, comme étant dans l'état **RELTATED**, que pour le protocole **icmp**.(Module **nf_conntrack_ipv4** chargé automatiquement). |
| - | Pour les autres protocoles, il faudra ajouter une règle raw pour charger le module adéquat et activer la prise en charge de l'état RELATED. Par exemple, pour le protocole ftp: | + | Pour les autres protocoles, il faudra ajouter une règle de type **raw** pour charger le module adéquat et activer la prise en charge de l'état **RELATED**. Par exemple, pour le protocole **ftp**, coté serveur: |
| - | iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</note> | + | <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> |
| + | </note> | ||
| Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! | Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! | ||
