Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente | Prochaine révision Les deux révisions suivantes | ||
|
doc:reseau:iptables-pare-feu-pour-une-passerelle [15/10/2014 08:45] Hypathie [Détail pour les protocole TCP et UDP] |
doc:reseau:iptables-pare-feu-pour-une-passerelle [15/10/2014 09:10] Hypathie [La table NAT] |
||
|---|---|---|---|
| Ligne 205: | Ligne 205: | ||
| La traduction d'adresse est gérée avec les chaînes PREROUTING, POSTROUTING et OUTPUT.\\ | La traduction d'adresse est gérée avec les chaînes PREROUTING, POSTROUTING et OUTPUT.\\ | ||
| - | Dans la chaîne PREROUTING (avant routage), on peut modifier l'adresse de destination des paquets qui arrivent sur notre passerelle mais qui doivent aller sur le réseau B. S'ils ne lui sont pas destiné, et qu'au niveau de la passerelle on détermine une redirection pour l'hôte de notre choix, ce serait là faire du DNAT (du "NAT destination").\\ | + | **Dans la chaîne PREROUTING** (avant routage), on peut modifier l'adresse de destination des paquets qui arrivent sur notre passerelle mais qui doivent aller sur le réseau B. S'ils ne lui sont pas destiné, et qu'au niveau de la passerelle on détermine une redirection pour l'hôte de notre choix, ce serait là faire du DNAT (du "NAT destination").\\ |
| - | Dans la chaîne POSTROUTING, (après routage), on peut modifier l'adresse source ; celle des hôtes du réseau B, ou d'une seul hôte du réseau B, la passerelle pourrait aussi d'indiquer au réseau A une autre adresse pour l'ordinateur que celle qui est véritablement la sienne. Ce serait là faire du SNAT (NAT source).\\ | + | **Dans la chaîne POSTROUTING**, (après routage), on peut modifier l'adresse source ; celle des hôtes du réseau B, ou d'une seul hôte du réseau B, la passerelle pourrait aussi d'indiquer au réseau A une autre adresse pour l'ordinateur que celle qui est véritablement la sienne. Ce serait là faire du SNAT (NAT source).\\ |
| - | Dans la chaîne POSTROUTING, on peut comme nous le savons, "l'IP Masquerade".\\ | + | **Dans la chaîne POSTROUTING, "l'IP Masquerade"**.\\ |
| Le masquage d'adresse IP est une forme de traduction d'adresse réseau (NAT), et ressemble au SNAT. Cela permet aux ordinateurs d'un réseau privé n'ayant aucune adresse IP d'accéder à Internet via l'adresser IP unique d'une machine Linux.\\ | Le masquage d'adresse IP est une forme de traduction d'adresse réseau (NAT), et ressemble au SNAT. Cela permet aux ordinateurs d'un réseau privé n'ayant aucune adresse IP d'accéder à Internet via l'adresser IP unique d'une machine Linux.\\ | ||
| Voir : [[http://www.inetdoc.net/guides/iptables-tutorial/nattable.html]] | Voir : [[http://www.inetdoc.net/guides/iptables-tutorial/nattable.html]] | ||
| Ligne 251: | Ligne 251: | ||
| Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | Pour ce qui concerne masquerade et snat, ce qui se passe pour un paquet est représenté par la partie du schéma au dessus de la ligne transversale FORWARD.\\ | ||
| - | Ce schéma tente de mettre en valeur un pré-requis pour ces paquets qui entrent et sortent par **eth0 et eth1** ; et qui sont routés uniquement si, de façon sous-jacente, ils sont autorisés à entrer et sortir pour chacune des deux interfaces.\\ | + | Ce schéma tente de mettre en valeur deux pré-requis ; |
| + | * 1) la chaîne FORWARD laisse passer dans les deux sens le flux qu'on veut autoriser; | ||
| + | * 2) les chaînes INPUT et OUTPUT laisse entrer et sortir ces mêmes ces paquets, non seulement par **eth0** mais aussi par **eth1**. | ||
| En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | En d'autres termes, la table **FILTER** et les chaînes FORWARD, INPUT et OUTPUT conditionnent le POSTEROUTING (et le PREROUTING).\\ | ||
| - | Ré-préquis déterminant le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. | + | Ré-préquis qui déterminent le fait que l'ordinateur B puisse recevoir des paquets, et en envoyer. |
| - | Ainsi, si La commande installée précédemment \\ ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''\\ permettait la transmission des paquets du réseau interne (eth1), au externe (eth0), et vice-versa c'est parce qu'on avait laissé la police par défaut pour le pare-feu de la passerelle. | + | Ainsi, si La commande installée précédemment \\ ''iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE''\\ permettait la transmission des paquets du réseau interne (eth1), au externe (eth0), et vice-versa c'est parce qu'on avait laissé la police par défaut pour la tables FILTER du pare-feu de la passerelle. |
| * Nous obtenons pour l'instant : | * Nous obtenons pour l'instant : | ||
| - | <code root>iptables -L -t nat</code> | + | <code root>iptables -L -t nat && iptables -L</code> |
| <code> | <code> | ||
| Chain PREROUTING (policy ACCEPT) | Chain PREROUTING (policy ACCEPT) | ||
| - | target prot opt source destination | + | target prot opt source destination |
| Chain INPUT (policy ACCEPT) | Chain INPUT (policy ACCEPT) | ||
| - | target prot opt source destination | + | target prot opt source destination |
| Chain OUTPUT (policy ACCEPT) | Chain OUTPUT (policy ACCEPT) | ||
| - | target prot opt source destination | + | target prot opt source destination |
| Chain POSTROUTING (policy ACCEPT) | Chain POSTROUTING (policy ACCEPT) | ||
| - | target prot opt source destination | + | target prot opt source destination |
| - | MASQUERADE all -- anywhere anywhere | + | MASQUERADE all -- anywhere anywhere |
| + | Chain INPUT (policy ACCEPT) | ||
| + | target prot opt source destination | ||
| + | |||
| + | Chain FORWARD (policy ACCEPT) | ||
| + | target prot opt source destination | ||
| + | |||
| + | Chain OUTPUT (policy ACCEPT) | ||
| + | target prot opt source destination | ||
| </code> | </code> | ||
