Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
informatique:linux:iptables [2015/09/03 13:05] benoit |
informatique:linux:iptables [2018/09/06 19:10] (Version actuelle) |
||
---|---|---|---|
Ligne 24: | Ligne 24: | ||
iptables -A INPUT -s 192.168.0.1 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | iptables -A INPUT -s 192.168.0.1 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | ||
+ | Pour insérer une règle en première position, utiliser **-I INPUT 1** : | ||
+ | iptables -I INPUT 1 -s 192.168.0.2 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | ||
+ | |||
+ | | ||
Pour lister les règles actives : | Pour lister les règles actives : | ||
iptables -L -v | iptables -L -v | ||
Ligne 167: | Ligne 171: | ||
==== Grouper les règles en créant des chains ==== | ==== Grouper les règles en créant des chains ==== | ||
- | Pour organiser les règles IPTABLES nous pouvons les regrouper. On insère un ensemble des règles dans ces groupe et rattache ensuite ces groupe à une des prinpales chaine de règle : INPUT, FORWARD ou DROP. | + | Pour organiser les règles IPTABLES nous pouvons les regrouper. On insère un ensemble de règles dans des groupes et on les rattache à une des principales chaine de règle : INPUT, FORWARD ou DROP. |
- | Pour créer un groupe de règle nommé | + | Pour créer un groupe de règle nommé MY-FILTER-01 : |
+ | iptables -N MY-FILTER-01 | ||
+ | |||
+ | Pour ajouter ajouter une règle à ce groupe : | ||
+ | |||
+ | iptables -A MY-FILTER-01 -d 8.8.8.8 -j DROP | ||
+ | |||
+ | Pour le moment, la règle que l'on vient d'ajouter n'est pas appliquée | ||
+ | |||
+ | Nous ajoutons maintenant notre groupe de règle MY-FILTER-01 à la chaine OUTPUT : | ||
+ | |||
+ | iptables -A OUTPUT -j MY-FILTER-01 | ||
+ | |||
+ | Notre règle est maintenant appliquée. | ||
+ | |||
+ | Nous ajoutons maintenant une règle supplémentaire à notre groupe de règles MY-FILTER-01 : | ||
+ | |||
+ | iptables -A MY-FILTER-01 -d 8.8.4.4 -j DROP | ||
+ | |||
+ | Celle nouvelle règle est directement active. | ||
+ | |||
+ | Listons les règles : | ||
+ | |||
+ | iptables -L -n -v | ||
+ | |||
+ | Nous lisons que dans la **Chain OUTPUT** est définie une cible **MY-FILTER-01**. De ce fait toutes les règles se trouvant dans la **Chain MY-FILTER-01** seront appliqués pour les flux sortants (**OUTPUT**). | ||
+ | |||
+ | Chain INPUT (policy ACCEPT 111 packets, 8420 bytes) | ||
+ | pkts bytes target prot opt in out source destination | ||
+ | | ||
+ | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) | ||
+ | pkts bytes target prot opt in out source destination | ||
+ | | ||
+ | Chain OUTPUT (policy ACCEPT 83 packets, 11212 bytes) | ||
+ | pkts bytes target prot opt in out source destination | ||
+ | 83 11212 MY-FILTER-01 all -- * * 0.0.0.0/0 0.0.0.0/0 | ||
+ | | ||
+ | Chain MY-FILTER-01 (1 references) | ||
+ | pkts bytes target prot opt in out source destination | ||
+ | 2 168 DROP all -- * * 0.0.0.0/0 8.8.8.8 | ||
+ | 2 168 DROP all -- * * 0.0.0.0/0 8.8.4.4 | ||
+ | |||
+ | |||
+ | Comme nous avons regroupé les deux règles dans le même groupe, nous pouvons les désactiver d'un coup en retirant le groupe de règle MY-FILTER-01 de la chaine OUTPUT : | ||
+ | iptables -D OUTPUT -j MY-FILTER-01 | ||
+ | | ||