Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 14:51] Beta-Pictoris |
doc:reseau:iptables-pare-feu-pour-un-client [30/08/2018 15:13] Beta-Pictoris |
||
|---|---|---|---|
| Ligne 234: | Ligne 234: | ||
| ===Les options=== | ===Les options=== | ||
| ''-t filter'' : pour préciser la table (facultatif avec la table filter).\\ | ''-t filter'' : pour préciser la table (facultatif avec la table filter).\\ | ||
| - | ''-A chain'' : ajouter une règle à la fin de la chaîne (OUTPUT, puis INPUT)\\ | + | ''-A chain'' : ajouter une règle à la fin de la chaîne (OUTPUT, puis INPUT)\\ |
| - | ''-p'' : pour indiquer le type de trames utilisé dans le paquet. ([!] "all", "tcp", "udp", "icmp", ou un numéro)\\ | + | ''-p'' : pour indiquer le type de trames utilisé dans le paquet ([!] "all", "tcp", "udp", "icmp", ou un numéro).\\ |
| - | ''--dport'' : port de destination.\\ | + | ''--dport'' : port de destination.\\ |
| - | ''--sport'' : port source.\\ | + | ''--sport'' : port source.\\ |
| - | ''-m //module//'' : Demande d'utiliser un module particulier.\\ | + | ''-m module'' : Demande d'utiliser un module particulier.\\ |
| ''conntrack'' : c'est un module de netfilter.\\ | ''conntrack'' : c'est un module de netfilter.\\ | ||
| - | ''--ctstate //liste des états conntrack.//'' | + | ''--ctstate'' : liste des états conntrack. |
| ===La liste des états de connexion conntrack=== | ===La liste des états de connexion conntrack=== | ||
| Ligne 255: | Ligne 255: | ||
| * CONFIRMED : Connexion est confirmée | * CONFIRMED : Connexion est confirmée | ||
| - | <note important>Depuis debian stretch, **conntrack** va étiqueter des paquets, comme étant dans l'état **RELATED**, que pour le protocole **icmp**. | + | <note important>Depuis debian **Stretch**, **conntrack** va étiqueter les paquets en **RELATED**, que pour le protocole **icmp**.\\ |
| - | Pour les autres protocoles, il faudra ajouter une règle de type **raw** pour charger le module adéquat et activer la prise en charge de l'état **RELATED**. Par exemple, pour le protocole **ftp**, coté serveur: | + | Pour les autres protocoles, il faudra ajouter une règle de type **raw** pour charger le module adéquat (nf_conntrack_*) et activer la prise en charge de l'état **RELATED**.\\ |
| + | Par exemple, pour le protocole **ftp**, coté serveur: | ||
| <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | ||
| + | |||
| + | Si l'état **RELATED** n'est pas pris en charge, **conntrack** étiquètera les paquets en **NEW**. | ||
| </note> | </note> | ||
| + | |||
| Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! | Vous n'avez rien compris ? C'est normal, voyons ce qu'est //conntrack// ! | ||
