Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-un-client [08/09/2018 12:35] Beta-Pictoris |
doc:reseau:iptables-pare-feu-pour-un-client [08/09/2018 12:53] Beta-Pictoris |
||
|---|---|---|---|
| Ligne 256: | Ligne 256: | ||
| <note important>Depuis debian **Stretch**, **conntrack** ne va plus étiqueter les paquets en **RELATED**, sauf pour le protocole **icmp**.\\ | <note important>Depuis debian **Stretch**, **conntrack** ne va plus étiqueter les paquets en **RELATED**, sauf pour le protocole **icmp**.\\ | ||
| - | Pour les autres protocoles, il faudra déclencher l'activation du module **conntrack** adéquat, en pré-routant les nouvelles connexions vers une cible **CT**. Pour cela, il faudra créer une règle particulière dans la table **raw**.\\ | ||
| - | Par exemple, pour le protocole **ftp**, si on veut qu'une nouvelle connexion, sur le port 21 du serveur, active le module **nf_conntrack_ftp**:\\ | + | Pour les autres protocoles, il faudra déclencher l'activation du module **conntrack** adéquat, appelé module helper, en pré-routant les nouvelles connexions vers une cible **CT**. Pour cela, il faudra créer une règle particulière dans la table **raw**.\\ |
| + | |||
| + | Par exemple, pour le protocole **ftp**, si on veut qu'une nouvelle connexion **tcp**, sur le port 21 du serveur, active le module **nf_conntrack_ftp**:\\ | ||
| <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | <code root>iptables -t raw -A PREROUTING -p tcp --dport 21 -j CT --helper ftp</code> | ||
| - | En conséquence, **conntrack** étiquètera en **RELATED** le premier paquet sortant du port 20 du serveur (cas d'un serveur ftp actif).\\ | + | En conséquence, **conntrack** étiquètera en **RELATED** le paquet, d'une nouvelle connexion **tcp**, sortant du port 20 du serveur (cas d'un serveur ftp actif).\\ |
| On pourra, donc, utiliser la règle suivante coté serveur:\\ | On pourra, donc, utiliser la règle suivante coté serveur:\\ | ||
| <code root>iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> | <code root>iptables -A OUTPUT -p tcp --sport 20 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT</code> | ||
| - | Si l'état **RELATED** n'est pas pris en charge, **conntrack** étiquètera les paquets en **NEW**. | + | Si le module conntrack, qui gère l'état **RELATED**, n'est pas activé, **conntrack** étiquètera les paquets en **NEW**. |
| </note> | </note> | ||
