Wiki

Outils pour utilisateurs

Outils du site

Piste :
all:bibles:linux:reseau:firewall

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
all:bibles:linux:reseau:firewall [2025/02/19 14:15] – [Syntaxe] omeylhocall:bibles:linux:reseau:firewall [2025/02/19 14:53] (Version actuelle) – [Translation d'adresse] omeylhoc
Ligne 1: Ligne 1:
 +====== Firewall ======
 +
 +----
 +
 +===== iptables =====
 +
 +==== Syntaxe ====
 +
 +=== Paramètres ===
 +
 +| -L  | Lister les rêgles  |
 +| -n  | Affichage numérique plutôt que substitution  |
 +| -t nat  | Table de NAT  |
 +| -t filter  | Table de filtrage (par défaut)  |
 +| -F  | Vide la table (flush)  |
 +| -X  | Efface une chaîne  |
 +
 +==== Exemples ====
 +
 +<code bash>
 +sudo iptables -t nat -L                # liste les règles de NAT
 +sudo iptables –t nat –S                # liste les règles de NAT
 +sudo iptables –t nat –L --line-numbers # liste avec des numéros de ligne
 +sudo iptables –t nat –D PREROUTING 101 # pour supprimer la ligne 101 
 +sudo iptables -t nat -F                # supprime les règles de NAT
 +sudo service iptables save/restore     # sauvegarde/restore dans fichier /etc/sysconfig/iptables pour prise en compte au redémarrage du service
 +</code>
 +
 +<note important>Un utilisateur non root peut obtenir l'erreur « commande introuvable »</note>
 +
 +==== Translation d'adresse ====
 +
 +=== IP Forwarding ===
 +
 +  * Modification temporaire
 +
 +<code bash>
 +echo 1 > /proc/sys/net/ipv4/ip_forward
 +</code>
 +
 +  * Modification persistante avec le fichier <color #00a2e8>/etc/sysctl.conf</color>
 +
 +<code bash>
 +net.ipv4.ip_forward=1
 +</code>
 +
 +  * Prise en compte
 +
 +<code bash>
 +sudo sysctl -p
 +</code>
 +
 +  * Vérification
 +
 +<code bash>
 +cat /proc/sys/net/ipv4/ip_forward
 +</code>
 +
 +=== NAT (Network Address Translation) ===
 +
 +<code bash>
 +# redirection du port TCP 80 en entrée sur eth0 vers le même port sur 10.10.0.213
 +sudo iptables -t nat -A PREROUTING  -j DNAT       -i eth0  -p tcp --dport 80 --to-destination 10.10.0.213  # DNAT on substitue à l'adresse destination une adresse du réseau local privé
 +sudo iptables -t nat -A POSTROUTING -j MASQUERADE -o eth1  -p tcp --dport 80               -d 10.10.0.213  # SNAT on substitue l'adresse source par celle de l'interface
 +</code>
 +
 +=== NAT / PAT (Port Address Translation) ===
 +
 +<code bash>
 +# redirection du port TCP 10010 en entrée sur wlan0 vers le port 22 de 192.168.1.10
 +sudo iptables -t nat -A PREROUTING  -j DNAT       -i wlan0 -p tcp --dport 10010  --to-destination 192.168.1.10:22
 +sudo iptables -t nat -A POSTROUTING -j MASQUERADE          -p tcp --dport 22                   -d 192.168.1.10 
 +</code>
 +
 +<note important>Ne pas oublier d'activer l'IP forwarding</note>
 +
 +----