Notes : iptables

Published: 22-07-2015

Updated: 29-10-2016

By: Maxime de Roucy

tags: firewall iptables network

Quelques notes concernant iptables.

Pour l’instant cette page est plus un bookmark qu’autre chose…

Ce dessous un schéma représentant les différentes tables (filter, nat…) et chain (PREROUTING, INPUT…) iptables ainsi que leur agencement (source).

les différentes tables iptables

Par avoir la liste des modules et extension de iptables, notamment pour avoir plus d’info sur SNAT, DNAT, MASQUERADE… voir le manuel de iptables-extensions.

iptables-save/restore

iptables-save permet de dumper/sauvegarder les règles firewall actuellement configurées dans netfilter.

# Generated by iptables-save v1.6.0 on Sat Oct 29 13:47:21 2016
*mangle
:PREROUTING ACCEPT [212488:256277377]
:INPUT ACCEPT [212483:256275737]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [130897:17611172]
:POSTROUTING ACCEPT [130903:17611640]
-A POSTROUTING …
COMMIT
# Completed on Sat Oct 29 13:47:21 2016
# Generated by iptables-save v1.6.0 on Sat Oct 29 13:47:21 2016
*nat
:PREROUTING ACCEPT [203:45949]
:INPUT ACCEPT [94:30832]
:OUTPUT ACCEPT [11095:680183]
:POSTROUTING ACCEPT [11095:680183]
-A POSTROUTING …
…
COMMIT
# Completed on Sat Oct 29 13:47:21 2016
# Generated by iptables-save v1.6.0 on Sat Oct 29 13:47:21 2016
*filter
:INPUT DROP [110:13945]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [130897:17611172]
:ICMP - [0:0]
:SSH_CHECK - [0:0]
-A INPUT …
…
-A FORWARD …
…
-A OUTPUT …
…
-A ICMP …
…
-A SSH_CHECK …
…
COMMIT
# Completed on Sat Oct 29 13:47:21 2016
*A
les règles suivantes s’applique à la table « A ».
:B C [D:E]
les règles suivantes s’applique à la chain « B » ; « C » est target par défaut, « D » et « E » sont le nombre de paquets et de bytes traitées par cette chain depuis le dernier load/reload (iptables-restore) de la conf.

Ces règles peuvent être rechargées avec la commande iptables-restore. Si une table est mentionnée dans le fichier chargé par iptables-restore, toutes les chains/règles de cette table actuellement dans netfilter sont remplacée par celle du fichier. Si une table n’est pas mentionnée elle n’est pas modifiée.

modules

Le manuel des différents modules iptables est accessible via man iptables-extensions.

MASQUERADE / SNAT

Sources :

MASQUERADE est similaire à SNAT excepté qu’il prend en paramètre une interface plutôt qu’une IP. L’IP source utilisée est celle de cette interface et les connexions sont « oublier » par le noyau si celle-ci passe en « state DOWN ».