Différences entre versions de « Pare-feu »
Sauter à la navigation
Sauter à la recherche
(ajoute les mots-clef netfilter et iptables) |
imported>SylvainBeucler m |
||
| (6 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 4 : | Ligne 4 : | ||
* [http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-6.html How Packets Traverse The Filters]: les règles de base | * [http://www.netfilter.org/documentation/HOWTO//packet-filtering-HOWTO-6.html How Packets Traverse The Filters]: les règles de base | ||
* [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-5.html Controlling What To NAT]: les règles de NAT | * [http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-5.html Controlling What To NAT]: les règles de NAT | ||
| + | * [http://www.debian.org/doc/manuals/reference/ch-gateway.fr.html#s-router-netfilter Debian Reference - 10.12.1 Configuration de Netfilter]: Les deux diagrammes superposés | ||
| + | |||
| + | Je reproduit le dernier schéma ci-dessous, car la version 2 du document l'a supprimé (c'est sous GPL): | ||
| + | <pre> | ||
| + | 10.12.1.1 Bases de Netfilter | ||
| + | |||
| + | Le traitement des paquets par Netfilter utilise cinq chaînes par défaut : PREROUTING, INPUT, FORWARD, OUTPUT, et POSTROUTING. | ||
| + | |||
| + | routing | ||
| + | decision | ||
| + | IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT | ||
| + | interface ROUTING \ filter / ROUTING interface | ||
| + | DNAT | tracking ^ SNAT | ||
| + | REDIRECT | | MASQUERADE | ||
| + | v | | ||
| + | INPUT OUTPUT | ||
| + | | filter ^ filter,DNAT | ||
| + | v | | ||
| + | \--> Local Process --/ | ||
| + | user-space programs | ||
| + | </pre> | ||
| + | |||
| + | Les paquets locaux ne passent que par INPUT, OUTPUT et POSTROUTING. | ||
| + | Notez également qu'il y a deux chaînes OUTPUT: une classique + une nat. | ||
Version actuelle datée du 4 octobre 2009 à 20:47
Un pare-feu, qu'on préfèrera au ridicule coupe-feu d'OSX ;), permet de traiter les connexions réseau, entrantes ou sortantes, pour les bloquer, les tracer, les transformer, etc.
Pour comprendre le cheminement des paquets, deux documents de référence sur iptables/netfilter:
- How Packets Traverse The Filters: les règles de base
- Controlling What To NAT: les règles de NAT
- Debian Reference - 10.12.1 Configuration de Netfilter: Les deux diagrammes superposés
Je reproduit le dernier schéma ci-dessous, car la version 2 du document l'a supprimé (c'est sous GPL):
10.12.1.1 Bases de Netfilter
Le traitement des paquets par Netfilter utilise cinq chaînes par défaut : PREROUTING, INPUT, FORWARD, OUTPUT, et POSTROUTING.
routing
decision
IN ------> PRE ---> ------> FORWARD -----> ----> POST -----> OUT
interface ROUTING \ filter / ROUTING interface
DNAT | tracking ^ SNAT
REDIRECT | | MASQUERADE
v |
INPUT OUTPUT
| filter ^ filter,DNAT
v |
\--> Local Process --/
user-space programs
Les paquets locaux ne passent que par INPUT, OUTPUT et POSTROUTING. Notez également qu'il y a deux chaînes OUTPUT: une classique + une nat.