Différences entre versions de « Pare-feu »
Sauter à la navigation
Sauter à la recherche
imported>SylvainBeucler m (paquets locaux) |
imported>SylvainBeucler m |
||
| Ligne 27 : | Ligne 27 : | ||
Les paquets locaux ne passent que par OUTPUT, POSTROUTING et INPUT. | Les paquets locaux ne passent que par OUTPUT, POSTROUTING et INPUT. | ||
| + | Notez également qu'il y a deux chaînes OUTPUT: une classique + une nat. | ||
Version du 14 septembre 2009 à 15:47
Un pare-feu, qu'on préfèrera au ridicule coupe-feu d'OSX ;), permet de traiter les connexions réseau, entrantes ou sortantes, pour les bloquer, les tracer, les transformer, etc.
Pour comprendre le cheminement des paquets, deux documents de référence sur iptables/netfilter:
- How Packets Traverse The Filters: les règles de base
- Controlling What To NAT: les règles de NAT
- Debian Reference - 10.12.1 Configuration de Netfilter: Les deux diagrammes superposés
Je reproduit le dernier schéma ci-dessous, car la version 2 du document l'a supprimé (c'est sous GPL):
10.12.1.1 Bases de Netfilter
Le traitement des paquets par Netfilter utilise cinq chaînes par défaut : PREROUTING, INPUT, FORWARD, OUTPUT, et POSTROUTING.
routing
decision
IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
interface ROUTING \ filter / ROUTING interface
DNAT | tracking ^ SNAT
REDIRECT | | MASQUERADE
v |
INPUT OUTPUT
| filter ^ filter,DNAT
v |
\--> Local Process --/
user-space programs
Les paquets locaux ne passent que par OUTPUT, POSTROUTING et INPUT. Notez également qu'il y a deux chaînes OUTPUT: une classique + une nat.