:arrow: 2 questions sur iptables

[pu2zl3]

Bonjour tout le monde,

2 petites questions :

Avec quelle commande fait on afficher toutes les règles en action ?

J'ai essayé iptables -L

Mais, par exemple, j'ai deux règles MASQUERADE en services et rien ne me l'indique avec cette commande.

Sinon dans quel fichier faut il écrire une règle (telle que MASQUERADE) pour quelle reste même après un reboot ?

Merci beaucoup

[jdh]

- Netfilter est un système complet de firewall.
- La commandes iptables permet d'écrire les règles permettant de paramétrer le fonctionnement de Netfilter.
- Les chaines INPUT, OUTPUT et FORWARD sont les plus connues et font partie de la table "filter".
- il existe d'autres tables dont la plus importantes est "nat".
- La chaine PREROUTING est la chaine la plus connue de la table "nat".


Une bonne commande est

iptables -vn -L -t filter | less

Et une variante permet de répondre à la question 1.


Concernant la question 2, le script de firewall sont là pour être lancé au démarrage du firewall.
Dans le cas d'IPCOP, le script se trouve dans /etc/rc.firewall.local ?


Remarques :
- un bon site d'information : http://irp.nain-t.net/doku.php/130netfilter:start (Christian Caleca, merci pour lui),
- est-il judicieux de modifier (à la main) un fichier si essentiel d'IPCOP ?

[pu2zl3]

Merci pour ta réponse. Tu a l'air de connaitre le sujet c cool.

Bon je vais chercher concernant la variante de la commande qui tu me donne ^^

Sinon ma commande est au niveau postrouting. Cette chaine est dans quelle table ?

Encore merci

++

[jdh]

Je m'y connais ?? Je n'ai installé qu'une seule fois un IPCOP !!

PREROUTING, POSTROUTING peuvent elle être dans la table "filter" ? Logiquement non, n'est-il pas ?



Mon objectif (l'objectif de beaucoup d'amiraux ici) n'est pas de répondre complètement et précisément à chaque question, mais de donner les bonnes pistes, les bonnes idées de réflexion.

Maitriser Netfilter est difficile mais en connaitre le fonctionnement est aisé avec le site de Christian Caleca.

[philippe_PMA]

Si tu veux voir toutes les règles quelques soit les tables, tu peux faire une commande du genre :

for TABLE in `cat /proc/net/ip_tables_names |sort`; do iptables -t $TABLE; echo Table $TABLE; iptables -v -n --line-number -t $TABLE -L; done

Je ne l'ai pas testée sous IpCop, mais sous Fedora ça ne fait. Ca dépendra surtout de l'existance de /proc/net/ip_tables_names sous IpCop.

Sinon, tes PREROUTING, POSTROUTING c'est dans la table nat.

[jdh]

Je pense que le mieux eut été de dire pourquoi PREROUTING et POSTROUTING se trouve dans la table nat (et que, donc, il faut ajouter "-t nat" à la commande iptables).

[philippe_PMA]

Je pense que le mieux eut été de dire pourquoi PREROUTING et POSTROUTING se trouve dans la table nat (et que, donc, il faut ajouter "-t nat" à la commande iptables).

Même pas cap.

[philippe_PMA]

Y-en-a-d'autre qui font ça tellement mieux : http://fr.wikipedia.org/wiki/Fichier:Netfilter_schema.png

Un coup de google peu donner ça http://fr.wikipedia.org/wiki/Netfilter, et plein d'autres ...

[jdh]

Comme indiqué,
- la table filter comprend les chaines de filtrage des paquets,
- la table nat comprend les chaines de translation d'adresses ou de ports,
- la table mangle comprend des chaines pour d'autres traitements (QOS, ...).

La masquerade est un POSTROUTING (car il s'agit d'un cas spécial de Source NAT).