Différences entre versions de « Pare-feu »

De Cliss XXI
Sauter à la navigation Sauter à la recherche
imported>SylvainBeucler
m
imported>SylvainBeucler
m
Ligne 5 : Ligne 5 :
 
* [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-5.html Controlling What To NAT]: les règles de NAT
 
* [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-5.html Controlling What To NAT]: les règles de NAT
 
* [http://www.debian.org/doc/manuals/reference/ch-gateway.fr.html#s-router-netfilter Debian Reference - Network configuration]: Les deux diagrammes superposés
 
* [http://www.debian.org/doc/manuals/reference/ch-gateway.fr.html#s-router-netfilter Debian Reference - Network configuration]: Les deux diagrammes superposés
 +
 +
Je reproduit le dernier schéma ci-dessous, car la version 2 du document l'a supprimé (c'est sous GPL):
 +
<pre>
 +
10.12.1.1 Bases de Netfilter
 +
 +
Le traitement des paquets par Netfilter utilise cinq chaînes par défaut : PREROUTING, INPUT, FORWARD, OUTPUT, et POSTROUTING.
 +
 +
                    routing
 +
                    decision
 +
    IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
 +
    interface  ROUTING  \      filter      /      ROUTING    interface
 +
                DNAT    |      tracking    ^      SNAT
 +
                REDIRECT |                    |      MASQUERADE
 +
                        v                    |
 +
                      INPUT                OUTPUT
 +
                        | filter            ^ filter,DNAT
 +
                        v                    |
 +
                        \--> Local Process --/
 +
                                user-space programs
 +
</pre>

Version du 28 août 2009 à 17:05

Un pare-feu, qu'on préfèrera au ridicule coupe-feu d'OSX ;), permet de traiter les connexions réseau, entrantes ou sortantes, pour les bloquer, les tracer, les transformer, etc.

Pour comprendre le cheminement des paquets, deux documents de référence sur iptables/netfilter:

Je reproduit le dernier schéma ci-dessous, car la version 2 du document l'a supprimé (c'est sous GPL): 

10.12.1.1 Bases de Netfilter

Le traitement des paquets par Netfilter utilise cinq chaînes par défaut : PREROUTING, INPUT, FORWARD, OUTPUT, et POSTROUTING.

                     routing
                     decision
     IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
     interface  ROUTING  \       filter       /       ROUTING     interface
                DNAT     |       tracking     ^       SNAT
                REDIRECT |                    |      MASQUERADE
                         v                    |
                       INPUT                OUTPUT
                         | filter             ^ filter,DNAT 
                         v                    |
                         \--> Local Process --/
                                 user-space programs
Récupérée de « https://doc.cliss21.com/index.php?title=Pare-feu&oldid=1685 »