Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
doc:reseau:iptables-pare-feu-pour-un-client [08/09/2018 02:52] Beta-Pictoris |
doc:reseau:iptables-pare-feu-pour-un-client [08/09/2018 03:18] Beta-Pictoris |
||
---|---|---|---|
Ligne 256: | Ligne 256: | ||
<note important>Depuis debian **Stretch**, **conntrack** ne va étiqueter les paquets en **RELATED** que pour le protocole **icmp**.\\ | <note important>Depuis debian **Stretch**, **conntrack** ne va étiqueter les paquets en **RELATED** que pour le protocole **icmp**.\\ | ||
- | Pour les autres protocoles, il faudra activer la prise en charge de l'état **RELATED** en appliquant la chaine **CT** de la table **raw** sur le paquet déclencheur.\\ | + | Pour les autres protocoles, il faudra activer le module **conntrack** adéquat en utilisant une chaine **CT** de la table **raw** sur la connexion déclencheuse.\\ |
- | Par exemple, pour le protocole **ftp**, si on veut que le paquet, arrivant sur le port 21 du serveur, active le module conntrack_ftp: | + | Par exemple, pour le protocole **ftp**, si on veut qu'une nouvelle connexion, sur le port 21 du serveur, active le tracking conntrack_ftp:\\ |
<code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | ||
- | De ce fait, **conntrack** étiquètera en **RELATED** le premier paquet sortant du port 20 du serveur (cas d'un serveur ftp actif). | + | De ce fait, **conntrack** étiquètera en **RELATED** le premier paquet sortant du port 20 du serveur (cas d'un serveur ftp actif).\\ |
- | On pourra, donc, utiliser la règle suivante coté serveur: | + | On pourra, donc, utiliser la règle suivante coté serveur:\\ |
<code root>iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> | <code root>iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> | ||