Iptables. Table of Contents



Documents pareils
Formation Iptables : Correction TP

Sécurité des réseaux Firewalls

Sécurité GNU/Linux. Iptables : passerelle

pare - feu généralités et iptables

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

FILTRAGE de PAQUETS NetFilter

Linux Firewalling - IPTABLES

TP4 : Firewall IPTABLES

Exemples de commandes avec iptables.

Le filtrage de niveau IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Administration réseau Firewall

Administration Réseaux

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

TP SECU NAT ARS IRT ( CORRECTION )

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

TP 3 Réseaux : Subnetting IP et Firewall

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Proxy et reverse proxy. Serveurs mandataires et relais inverses

MISE EN PLACE DU FIREWALL SHOREWALL

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

avec Netfilter et GNU/Linux

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Sécurité et Firewall

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

acpro SEN TR firewall IPTABLES

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

CONFIGURATION FIREWALL

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Linux sécurité des réseaux

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Devoir Surveillé de Sécurité des Réseaux

Réalisation d un portail captif d accès authentifié à Internet

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

SQUID Configuration et administration d un proxy

TCP/IP, NAT/PAT et Firewall

Introduction. Conclusion. Sommaire. 1. Installation de votre routeur Coyote Linux Configuration requise et installation du matériel.

Présentation du modèle OSI(Open Systems Interconnection)

TAGREROUT Seyf Allah TMRIM

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Mise en place d'un Réseau Privé Virtuel

Figure 1a. Réseau intranet avec pare feu et NAT.

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

1/ Introduction. 2/ Schéma du réseau

Conférence Starinux Introduction à IPTABLES

A5.2.3, Repérage des compléments de formation ou d'autoformation

Architecture réseau et filtrage des flux

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Live box et Nas Synology

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

MAUREY SIMON PICARD FABIEN LP SARI

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

VoIP et "NAT" VoIP et "NAT" 1/ La Traduction d'adresse réseau. 1/ La traduction d'adresse réseau. 1/ La traduction d'adresse réseau

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

TP réseaux Translation d adresse, firewalls, zonage

Les firewalls libres : netfilter, IP Filter et Packet Filter

Polux Développement d'une maquette pour implémenter des tests de sécurité

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

Architectures sécurisées

Environnements informatiques

Les systèmes pare-feu (firewall)

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

LAB : Schéma. Compagnie C / /24 NETASQ

RESEAUX TCP/IP: NOTIONS AVANCEES. Preparé par Alberto EscuderoPascual

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Installer le patch P-2746 et configurer le Firewall avancé


GENERALITES. COURS TCP/IP Niveau 1

M2-RADIS Rezo TP13 : VPN

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

QoS Réseaux haut débit et Qualité de service

Cloud public d Ikoula Documentation de prise en main 2.0

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

pfsense Manuel d Installation et d Utilisation du Logiciel

Sécurité des réseaux Les attaques

Activité 1 : Création et Clonage d'une première machine virtuelle Linux OpenSuSE.

Rapport du projet Qualité de Service

Windows sur Kimsufi avec ESXi

Rappels réseaux TCP/IP

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

Live box et Nas Synology

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

Guide de configuration de la Voix sur IP

Firewall d'infrastructure centralisé. et load-balancing. Adrien Urban Responsable R&D

Transcription:

Iptables Dérnières modifications : Monday 07 April 2003 La dérnière version de ce document est disponible ici : http://tuxz.org/cours/iptables/ Stéphane Salès s.sales@tuxz.org Table of Contents 1.COURS 2 1.1.Mettons nous en situation : 2 1.2.Que puis-je faire avec iptables/netfilter? 2 1.3.C'est quoi une chaîne? 3 1.4.Comment placer une règle dans une chaîne? 4 2.TP IPTABLES 5 2.1.Opérations sur une seule chaîne et sur la table filter: 5 2.1.1.Première règle 5 2.1.2.paramètre protocole 5 2.1.3.paramètre source 5 2.1.4.chaîne OUTPUT paramètre destination 5 2.1.5.paramètre inversion 5 2.1.6.paramètre interface d'entrée 5 2.1.7.paramètre interface de sortie 5 2.1.8.paramètre destination port 5 2.1.9.paramètre source port 5 2.1.10.paramètre flag TCP 5 2.1.11.paramètre flag icmp 5 2.1.12.paramètre extension: 7 2.1.12.1.extension mac 7 2.1.12.2.extension limit 7 2.1.13.le suivi de connexion(ip_conntrack) 7 2.2.Opérations sur plusieurs chaînes et sur la table filter: 7 2.2.1.création d'un nouvelle chaîne 7 2.3.Opérations sur plusieurs chaires et sur plusieurs tables : 8 2.3.1.modification de champ IP/TCP ; table nat et chaînes PREROUTING,POSTROUTING ; cible SNAT, DNAT, MASQUERADE 8 2.3.1.TODO: 1.Ajouter un schéma 8 2.3.1.TODO: 2.--to-destination ipaddr[-ipaddr][:port-port You can add several --to-destination options. If you specify more than one destination address, either via an address range or multiple --to-destination options, a simple round-robin (one after another in cycle) load balancing takes place between these adresses. 8 2.3.1.TODO: 3.--to-source ipaddr[-ipaddr][:port-port You can add several --to-source options. If you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin Page(one 1 sur 12 after another in cycle) takes place between these adresses. 9

2.3.1.TODO: 3.--to-source ipaddr[-ipaddr][:port-port You can Monday add several 07 April 2003 --to-source options. If you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin (one after another in cycle) takes place between these adresses. 9 Page 2 sur 12

1. COURS 1.1. Mettons nous en situation : j'ai 3 machines en réseau(raccordés via un switch) qui forme mon LAN, une de ces machines possède 2 interfaces réseaux : - une carte réseau relié au switch qui sera donc mon interface pour joindre mon LAN - une connexion modem relié à un autre réseau, en l'occurrence Internet Un schéma valant mille explications : Nous ne détaillerons pas ici l'installation d'iptables étant donné que nous travaillerons sur des Debian munis du noyau 2.4.18-bf2.4 qui contient tout ce dont nous avons besoin(la seule chose restant éventuellement à faire étant de charger les modules dont nous nous serviront, une commande permettant de charger un module est : modprobe module 1.2. Que puis-je faire avec iptables/netfilter? * monter un firewall filtrant basé sur les paquets mais aussi sur le statut des connexions engendrés par les paquets(le suivi de connexion) Page 3 sur 12

* monter un firewall filtrant basé sur les paquets mais aussi sur le statut Monday des connexions 07 April 2003 engendrés par les paquets(le suivi de connexion) * utiliser NAT(Network Address Translation) et le masquerading afin de partager un accès internet à plusieurs machines * utiliser NAT pour faire du proxy transparent(évite d'avoir à paramétrer le proxy sur les clients/navigateurs web) * mettre en place(notamment en permettant le marquage des paquets via la table mangle) la possibilité d'utiliser tc+iproute2 dans le but d'obtenir un routeur sophistiqué permettant le QoS(Quality of Service, ie privilégié certains services, mettre en place des limites d'utilisation de bande passante sur un utilisateur, sur un groupe etc) * manipuler des paquets pour par exemple altéré le champ TOS(2) d'un datagramme IP 1.3. C'est quoi une chaîne? Nous allons donc nous positionner comme étant sur la machine qui fera office de firewall/routeur pour tenter de la sécuriser. Lorsqu'un paquet arrive, il va être orienté(selon un certain nombre de paramètres) dans l'une des différentes chaînes disponibles. Ainsi que nous le montres le schéma un paquet rentrera toujours dans la machine via la chaîne PREROUTING et sortira toujours de la machine via la chaîne POSTROUTING(chaînes servant notamment à certaines opérations de routage entre les 2 réseaux) raccordés par notre routeur. Les chaînes INPUT et OUTPUT quand à elle serviront respectivement à placer des règles pour les paquets destinés à la machine et ceux émis par la machine, pour faire simple si un paquet est destiné à ma machine, "il arrivera dans la chaîne INPUT" [1] Par exemple si je demande la visualisation d'une page sur le web depuis la machine, j'émets une requête qui sortira par la chaîne OUTPUT et la réponse arrivera sur ma machine par la chaîne INPUT. Page 4 sur 12

Par exemple si je demande la visualisation d'une page sur le web depuis la machine, Monday j'émets 07 April une 2003 requête qui sortira par la chaîne OUTPUT et la réponse arrivera sur ma machine par la chaîne INPUT. [La nuance est dans le "destiné", à savoir que l'on peut considérer qu'un paquet à destination du LAN sera, au moins à certain(s) moment(s) et à certain(s) niveau(x) du modèle OSI, destiné à la machine faisant office de routeur mais sera lui orienté dans la chaîne FORWARD et non pas dans la chaîne INPUT] Au moment où le paquet rentre dans la chaîne, les règles correspondant à cette chaîne sont appliquées dans l'ordre dans lequel elles sont stockées. 1.4. Comment placer une règle dans une chaîne? SYNOPSIS : iptables [-t table] -[ADC] chain rule-specification [options] Étant donné que pour la première partie du tp nous n'utiliserons que la table filter, nous pourrons omettre durant celle ci le paramètre -t, car en l'absence de celui-ci la table filter est utilisé par défaut. Pour manipuler les règles appliquées à une chaîne, on utilisera les paramètres : -A pour append : rajouter une règle à la suite des autres(la première règle passé par -A se retrouve en première position, les suivantes se retrouve à la suite) -D pour delete : effacer une règle -D numerox : effacer la règle numéro x -D règle : efface la règle -F pour flush : on obtient le même résultat en effaçant toutes les règles une par une -P : sert à fixer les policy par défaut, c'est à dire à fixer l'action à prendre par défaut(ie quand aucune règle n'est matché). La premier paramètre à connaître est le paramètre -j, car c'est avec celui-ci que l'on va dire quoi faire lorsqu'un paquet match la règle que l'on écrit. Le paramètre -j s'utilise de la manière suivante : -j target Ainsi une règle basique sera de la forme : iptables -A chaîne -j target Nous utiliserons dans un premier temps les 2 cibles suivantes(ensuite nous verrons que nous pourrons créer nos propre cibles) : ACCEPT: laisser passer le paquet DROP : refuser le paquet [ par défaut il existe une cible QUEUE et RETURN que nous n'utiliserons pas dans ce tp] N.B: avant de commencer le tp vous prendrez soin de couper tout service qui pourrait modifier les règles iptables(/etc/init.d/service stop, où service peut être iptables,shorewall etc). Vous vérifierez avec la commande iptables -L (liste les règles qui sont en ce moment appliquée) qui devra vous donner ceci : # iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) Page 5 sur 12

target prot opt source destination Le "policy ACCEPT" n'est pas bénin, en effet ceci précise l'action à prendre par défaut(i.e quand aucune règle ne match) 2. TP IPTABLES Monday 07 April 2003 2.1. Opérations sur une seule chaîne et sur la table filter: Créer les règles suivantes : (vous noterez sur cette feuille chacune des règles demandées, ainsi que le test de la règle, à savoir un copié/collé du terminal, et/ou du résultat d'un sniff( ethereal,ngrep etc) 2.1.1. Première règle Interdire tout paquet entrant 2.1.2. paramètre protocole Interdire le protocole ICMP 2.1.3. paramètre source Interdire le protocole ICMP provenant de localhost 2.1.4. chaîne OUTPUT paramètre destination Interdire tout paquet à destination de localhost 2.1.5. paramètre inversion Interdire un paquet s'il ne provient pas de localhost 2.1.6. paramètre interface d'entrée Interdire un paquet s'il provient de lo (à ne surtout jamais faire sur une machine si l'on ne sait pas EXACTEMENT ce que l'on fait) 2.1.7. paramètre interface de sortie Interdire tout paquet sortant par eth0 2.1.8. paramètre destination port Interdire tout paquet à destination du port ftp 2.1.9. paramètre source port Interdire tout paquet sortant par eth0 dont le numéro de port destination est inférieur à 1024 Tester une connexion ftp(ou n'importe quelle serveur qui tourne sur un port «privilégié») depuis une machine distante sur votre machine HELP : Les services qui tournent sur des ports < 1024 sont des services qui tournent sous le compte root et sont donc à protéger prioritairement effacer la règle et retester une connexion ftp 2.1.10. paramètre flag TCP Interdire toute tentative d'initialisation de connexion TCP provenant de eth0 Page 6 sur 12

2.1.11. paramètre flag icmp Interdire tout paquet entrant correspondant à un ping Interdire toute réponse à un ping 2.1.12. paramètre extension: 2.1.12.1. extension mac Attention on ne peut utiliser l'extension mac que sur les tables INPUT, PREROUTING et FORWARD ; à votre avis pourquoi? Interdire tout paquet entrant par eth0 dont l'adresse mac n'est pas celle du voisin 2.1.12.2. extension limit Positionner la police par défaut à DROP pour la chaîne INPUT Écrire une règle qui laisse entrer 5 tentatives de connexion TCP puis qui n'en laisse passer plus que 2 par minute Faire de même avec les pings On suppose que le burst est maintenant à 0, combien de temps(sans tentative de connexion ou d'echo-request)faudra t'il pour qu'on puisse à nouveau avoir 5 des ces paquets qui puissent passer à la suite? 2.1.13. le suivi de connexion(ip_conntrack) Positionnez les règles par défaut à DROP pour les chaînes INPUT, OUTPUT, FORWARD Autoriser tout paquet relatif à une connexion déjà établi ou en rapport avec une connexion déjà établi en entrée Interdire tout paquet relatif à une connexion de type INVALID Autoriser tout paquet créant une nouvelle connexion en sortie à destination du port 80 Que faut il modifier ici pour que l'on puisse naviguer sur le net? 2.2. Opérations sur plusieurs chaînes et sur la table filter: 2.2.1. création d'un nouvelle chaîne Créer une nouvelle chaîne qui log le paquet en ajoutant le préfixe [INPUT DROP] et qui le drop Renvoyer sur cette nouvelle chaîne tout paquet engendrant une nouvelle connexion en entrée Désormais nous sommes en mesure d'obtenir la configuration suivante : Page 7 sur 12

2.3. Opérations sur plusieurs chaires et sur plusieurs tables : [Pour cette partie nous travaillerons sur des machines ayant au minimum 2 interfaces réseau] 2.3.1. modification de champ IP/TCP ; table nat et chaînes PREROUTING,POSTROUTING ; cible SNAT, DNAT, MASQUERADE Positionnez les règles par défaut à DROP pour les chaînes INPUT, OUTPUT, FORWARD Créer une règle qui modifie tout paquet qui arrive via l'interface eth1 à destination du port 2222 afin que ce paquet ai dans son champ IP DST l'adresse 192.168.0.1 et dans son champ TCP DPORT 22 2.3.1.TODO: 1. Ajouter un schéma 2.3.1.TODO: 2. --to-destination ipaddr[-ipaddr][:port-port You can add several --to-destination options. If you specify more than one destination address, either via an address range or multiple --to-destination options, a simple round-robin (one after another in cycle) load balancing takes place between these adresses. Que se passe t il si on tente une connexion sur eth1 sur le port 2222? Que faut il faire pour que la translation fonctionne effectivement? (dans un sens comme dans l'autre) Page 8 sur 12

HELP : pour vous aider mettez ces règles dans un script se terminant par une règle qui log et drop tout et ensuite regarder attentivement les logs Effacer ces règles(sauf les polices par défaut) Créer une règle qui altère le champ IP SRC de tout paquet sortant via l'interface eth1, en remplaçant la valeur de ce champ par l'adresse IP de cette interface(eth1) 2.3.1.TODO: 3. --to-source ipaddr[-ipaddr][:port-port You can add several --to-source options. If you specify more than one source address, either via an address range or multiple --to-source options, a simple round-robin (one after another in cycle) takes place between these adresses. Autoriser tout trafic provenant de eth0 à être forwardé par notre machine Autoriser tout trafic de statuts ESTABLISHED,RELATED à être forwardé par notre machine Désormais nous sommes en mesure d'obtenir la configuration suivante : Page 9 sur 12

Le but sera ici de se placer dans un cas concret, et de répondre au mieux aux besoins de filtrage, d'accès aux services et de qualité de service. Le cas concret : Nous considérerons qu' iptables est installé sur la machine servant de routeur/firewall et nous allons donc nous attacher à écrire le script pour cette machine. Les machines, le routeur et le serveur placé dans la DMZ, doivent être protégées au mieux. Le routeur a 3 interfaces réseau : eth0(192.168.0.254) relié à la DMZ eth1(192.168.1.254) relié au LAN ppp0(62.212.36.222) relié à internet La machine doit pouvoir être joignable via SSH depuis le LAN, et depuis Internet. Les machines du LAN doivent pouvoir aller sur Internet(HTTP et FTP). Les machines du LAN doivent pouvoir pinger une machine sur Internet. Sur la DMZ, la machine 192.168.0.1 héberge le site web de l'entreprise, un relay mail et un serveur imap-ssl qui doivent être joignable, depuis le LAN, et depuis Internet. Cette machine doit aussi être joignable par SSH depuis le LAN et depuis Internet. Page 10 sur 12

La machine est une debian et est maintenu à jour via apt, aussi la machine devra pour pouvoir aller télécharger via FTP et HTTP les mises à jours sur par exemple ftp.fr.debian.org. On veut mettre en place un proxy transparent sur un serveur dédié (192.168.0.2) situé dans la DMZ, que faudrait il changer dans notre script? HELP : Un firewall bloque tout par défaut HELP : Un script firewall commence toujours par effacer toutes les règles(par défaut ou crées par un utilisateur) qui pourraient être actives HELP : La génération de log d'iptables est un atout majeur si les logs générés sont clairs,précis et lisibles HELP : Le renvoi d'un TCP RST peut être utile parfois pour améliorer les temps de réponses HELP : Un certain nombre de restrictions sont accessibles via /proc/sys/net/ voir dans les sources du kernel Documentation/networking/ip-sysctl.cfg HELP : L'utilisation du suivi de connexion sur un système sécurisé est recommandé car même s'il induit une charge supérieur pour le routeur il est très pratique HELP : Attention à la génération de log qui peuvent occuper un volume qui pourrait saturer le disque HELP : La création de ses propres chaînes est avantage dont on peut difficilement se passé. HELP : Un script firewall doit être un maximum modulable(il est tout à fait possible et même conseillé d'y déclarer des variables, par exemple LAN=192.168.0.0/24), facilitant ainsi grandement d'éventuels futures modifications HELP : Un script non testé est un mauvais script HELP : Il est courant d'attaquer un serveur dans une DMZ en se servant d'une machine vérolé du LAN, il est donc très important de sécuriser les échanges entre le LAN et la DMZ, tout autant que ceux entre Internet et nos 2 réseaux. [1] : en vérité le paquet n'arrive pas, physiquement parlant, dans la chaîne mais dans un souci de facilité de compréhension je me suis permis cette légère vulgarisation. [2] : Type de Service : 8 bits Le Type de Service donne une indication sur la qualité de service souhaitée, qui reste cependant un paramètre "abstrait". Ce paramètre est utilisé pour "guider" le choix des paramètres des services actuels lorsqu'un datagramme transite dans un réseau particulier. Certains réseaux offrent un mécanisme de priorité, traitant préférentiellement un tel trafic par rapport à un trafic moins prioritaire (en général en acceptant seulement de véhiculer des paquets d'un niveau de priorité au dessus d'un certain seuil lors d'une surcharge momentanée). Principalement, le choix offert est une négociation entre les trois contraintes suivantes : faible retard, faible taux d'erreur, et haut débit. Bits 0-2 : Priorité. Bit 3 : 0 = Retard standard, 1 = Retard faible. Bits 4 : 0 = Débit standard, 1 = Haut débit. Bits 5 : 0 = Taux d'erreur standard 1 = Taux d'erreur faible. Bit 6-7 : Réservé. Page 11 sur 12

+ 0 1 2 3 4 5 6 7 + +-----+-----+-----+-----+-----+-----+-----+-----+ PRIORITÉ D T R 0 0 +-----+-----+-----+-----+-----+-----+-----+-----+ Aide : HELP : man iptables : INCONTOURNABLE HELP : iptables --help, iptables -p TCP --help, iptables -p icmp --help etc HELP : iptables -L : liste les règles iptables actives HELP : un certain nombre de paramètre sont activable via le système de fichier virtuel /proc, par exemple pour activer le port forwarding on s'y prends comme cela : HELP : echo 1 > /proc/sys/net/ipv4/ip_forward HELP : /etc/services(voir aussi /etc/protocols) : liste les services et leur numéro de port HELP : /usr/include/linux/icmp.h : liste des noms des différents type et code icmp HELP : http://www.netfilter.org/documentation/howto/fr/packet-filtering-howto.html HELP : http://christian.caleca.free.fr/netfilter/ HELP : D'une manière générale quand on ne comprends pas ce qui ce passe(pourquoi ça marche? pourquoi ça marche pas?) on place une règle de log et on regarde les logs ainsi crées Page 12 sur 12

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back