Outils pour utilisateurs
informatique:linux:iptables
Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
informatique:linux:iptables [2015/09/03 13:05] benoit |
informatique:linux:iptables [2018/09/06 19:10] (Version actuelle) |
||
|---|---|---|---|
| Ligne 24: | Ligne 24: | ||
| iptables -A INPUT -s 192.168.0.1 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | iptables -A INPUT -s 192.168.0.1 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | ||
| + | Pour insérer une règle en première position, utiliser **-I INPUT 1** : | ||
| + | iptables -I INPUT 1 -s 192.168.0.2 -i eth1 -p udp --dport 32000:32900 -j ACCEPT | ||
| + | |||
| + | | ||
| Pour lister les règles actives : | Pour lister les règles actives : | ||
| iptables -L -v | iptables -L -v | ||
| Ligne 167: | Ligne 171: | ||
| ==== Grouper les règles en créant des chains ==== | ==== Grouper les règles en créant des chains ==== | ||
| - | Pour organiser les règles IPTABLES nous pouvons les regrouper. On insère un ensemble des règles dans ces groupe et rattache ensuite ces groupe à une des prinpales chaine de règle : INPUT, FORWARD ou DROP. | + | Pour organiser les règles IPTABLES nous pouvons les regrouper. On insère un ensemble de règles dans des groupes et on les rattache à une des principales chaine de règle : INPUT, FORWARD ou DROP. |
| - | Pour créer un groupe de règle nommé | + | Pour créer un groupe de règle nommé MY-FILTER-01 : |
| + | iptables -N MY-FILTER-01 | ||
| + | |||
| + | Pour ajouter ajouter une règle à ce groupe : | ||
| + | |||
| + | iptables -A MY-FILTER-01 -d 8.8.8.8 -j DROP | ||
| + | |||
| + | Pour le moment, la règle que l'on vient d'ajouter n'est pas appliquée | ||
| + | |||
| + | Nous ajoutons maintenant notre groupe de règle MY-FILTER-01 à la chaine OUTPUT : | ||
| + | |||
| + | iptables -A OUTPUT -j MY-FILTER-01 | ||
| + | |||
| + | Notre règle est maintenant appliquée. | ||
| + | |||
| + | Nous ajoutons maintenant une règle supplémentaire à notre groupe de règles MY-FILTER-01 : | ||
| + | |||
| + | iptables -A MY-FILTER-01 -d 8.8.4.4 -j DROP | ||
| + | |||
| + | Celle nouvelle règle est directement active. | ||
| + | |||
| + | Listons les règles : | ||
| + | |||
| + | iptables -L -n -v | ||
| + | |||
| + | Nous lisons que dans la **Chain OUTPUT** est définie une cible **MY-FILTER-01**. De ce fait toutes les règles se trouvant dans la **Chain MY-FILTER-01** seront appliqués pour les flux sortants (**OUTPUT**). | ||
| + | |||
| + | Chain INPUT (policy ACCEPT 111 packets, 8420 bytes) | ||
| + | pkts bytes target prot opt in out source destination | ||
| + | | ||
| + | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) | ||
| + | pkts bytes target prot opt in out source destination | ||
| + | | ||
| + | Chain OUTPUT (policy ACCEPT 83 packets, 11212 bytes) | ||
| + | pkts bytes target prot opt in out source destination | ||
| + | 83 11212 MY-FILTER-01 all -- * * 0.0.0.0/0 0.0.0.0/0 | ||
| + | | ||
| + | Chain MY-FILTER-01 (1 references) | ||
| + | pkts bytes target prot opt in out source destination | ||
| + | 2 168 DROP all -- * * 0.0.0.0/0 8.8.8.8 | ||
| + | 2 168 DROP all -- * * 0.0.0.0/0 8.8.4.4 | ||
| + | |||
| + | |||
| + | Comme nous avons regroupé les deux règles dans le même groupe, nous pouvons les désactiver d'un coup en retirant le groupe de règle MY-FILTER-01 de la chaine OUTPUT : | ||
| + | iptables -D OUTPUT -j MY-FILTER-01 | ||
| + | | ||
informatique/linux/iptables.1441278321.txt.gz · Dernière modification: 2018/09/06 19:00 (modification externe)
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial-Share Alike 4.0 International
