Next: Syntaxe.
Up: Netfilter avec Iptables.
Previous: Mécanisme d'iptables.
Table des matières
Grâce aux cinq points d'accrochage, Netfilter est capable:
- d'effectuer des filtrages de paquets (fonction de pare-feu) de manière,
par exemple, à interdire tous les paquets venant d'internet mais à
autoriser les paquets s'adressant au port 80 (HTTP),
- d'effectuer de la traduction d'adresses réseau ou NAT (Network
Address Translation), ce qui est utile quand on veut faire communiquer
avec l'internet un réseau privé présentant des adresses du type 192.168.x.y.,
- de marquer des paquets de manière à leur appliquer un traitement spécial.
Netfilter peut agir ainsi grâce à la commande iptables
qui écrit dans trois tables: FILTER, NAT
et MANGLE.
La table FILTER contient les règles de
filtrage des paquets; il y a trois chaînes:
- INPUT qui décide du sort des paquets entrant
en local sur l'hôte,
- OUTPUT qui traite les paquets sortants,
- FORWARD qui filtre les paquets allant d'une
interface à une autre, selon les routes existantes.
La table NAT effectue toutes les traductions
d'adresses nécessaires:
- PREROUTING est une chaîne de traduction
d'adresses IP (IP translation),
- POSTROUTING permet la traduction de l'adresse
de la source,
- OUTPUT permet de modifier la destination
des paquets produits localement (c'est-à-dire par la passerelle).
La table MANGLE opère des marquages de
paquets entrants (PREROUTING) et produits
localement (OUTPUT). Le marquage de paquets
dans leur en-tête sert à autoriser un traitement spécial des paquets
dans la table de routage.
Deux cas peuvent se présenter sur un pare-feu. Quelle que soit l'interface
sur laquelle arrive un message, ce dernier passe par la fonction de
décision de routage. Celle-ci détermine si le paquet est destiné à
un processus local à l'hôte ou à une machine d'un autre réseau:
- soit le paquet est destiné à l'hôte local, alors il traverse la chaîne
INPUT,
- soit le paquet est destiné à un autre hôte: il traverse la chaîne
FORWARD.
Dans le premier cas de figure, si le paquet n'est pas rejeté, il est
transmis au processus auquel il s'adresse. Le processus le traite
et émet, le cas échéant, un nouveau paquet en réponse. Ce nouveau
paquet traverse la chaîne OUTPUT. S'il
n'est pas rejeté, il est dirigé vers la sortie.
Dans le second cas de figure, si le paquet n'est pas rejeté, il poursuit
sa route.
Next: Syntaxe.
Up: Netfilter avec Iptables.
Previous: Mécanisme d'iptables.
Table des matières
1-01-2006