iptables |
Tables de IP |
|---|---|
| Linux | Externe |
Syntaxe
| iptables -I chain [rulenum] rule-specification [options] |
| iptables -R chain rulenum rule-specification [options] |
| iptables -D chain rulenum [options] |
| iptables -[LS] [chain [rulenum]] [options] |
| iptables -[FZ] [chain] [options] |
| iptables -[NX] chain |
| iptables -E old-chain-name new-chain-name |
| iptables -P chain target [options] |
| iptables -h |
Paramètres
| Nom | Description |
|---|---|
| -4 | Ce paramètre permet d'indiquer le IP version 4, mais ne fait rien. Ce paramètre est ignoré par le paramètre «ip6tables-restore». |
| -6 | Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore». |
| --append chain | Ce paramètre permet d'indiquer qu'il faut l'ajouter à la chaine. |
| -A chain | Ce paramètre permet d'indiquer qu'il faut l'ajouter à la chaine. |
| --check chain | Ce paramètre permet de vérifier l'existence d'une règle à suivre. |
| -C chain | Ce paramètre permet de vérifier l'existence d'une règle à suivre. |
| -d address[/mask][...] | Ce paramètre permet d'indiquer les spécifications de la destination. |
| -D chain | Ce paramètre permet d'indiquer qu'il faut supprimer la règle correspondante pour la chaine. |
| -D chain rulenum | Ce paramètre permet d'indiquer qu'il faut supprimer la règle avec le numéro spécifié. La première règle contient le numéro 1. |
| --delete chain | Ce paramètre permet d'indiquer qu'il faut supprimer la règle correspondante pour la chaine. |
| --delete chain rulenum | Ce paramètre permet d'indiquer qu'il faut supprimer la règle avec le numéro spécifié. La première règle contient le numéro 1. |
| --delete-chain [chain] | Ce paramètre permet de supprimer la chaine utilisateur. |
| --destination address[/mask][...] | Ce paramètre permet d'indiquer les spécifications de la destination. |
| -E old-chain new-chain | Ce paramètre permet de changer le nom de la chaine (déplacer n'importe quel référence). |
| --exact | Ce paramètre permet d'indiquer le numéros d'étendues (affiche les valeurs exactes). |
| -f | Ce paramètre permet de faire correspondre le second fragment. |
| -F [chain] | Ce paramètre permet d'indiquer qu'il faut effacer toutes les règles dans une chaine ou dans toutes les chaines. |
| --flush [chain] | Ce paramètre permet d'indiquer qu'il faut effacer toutes les règles dans une chaine ou dans toutes les chaines. |
| --fragment | Ce paramètre permet de faire correspondre le second fragment. |
| --goto chain | Ce paramètre permet d'indiquer le saut vers la chaine ne retournant rien. |
| -g chain | Ce paramètre permet d'indiquer le saut vers la chaine ne retournant rien. |
| -h | Ce paramètre permet d'indiquer qu'il faut retourner l'aide de la commande et de terminer cette commande immédiatement après. |
| -i input name[+] | Ce paramètre permet d'indiquer le nom de l'interface réseau. |
| --in-interface input name[+] | Ce paramètre permet d'indiquer le nom de l'interface réseau. |
| --insert chain [rulenum] | Ce paramètre permet d'insérer dans la chaine le numéro de règle spécifié. La valeur par défaut du numéro de règle est 1. |
| --ipv4 | Ce paramètre permet d'indiquer le IP version 4, mais ne fait rien. Ce paramètre est ignoré par le paramètre «ip6tables-restore». |
| --ipv6 | Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore». |
| -j target | Ce paramètre permet d'indiquer le nom de la destination pour la règle (peut être le chargement de l'extension de destination). |
| --jump target | Ce paramètre permet d'indiquer le nom de l'interface réseau. |
| -L [chain [rulenum]] | Ce paramètre permet d'afficher la liste des règles dans une chaine ou dans toutes les chaines. |
| --line-numbers | Ce paramètre permet d'afficher les numéros de ligne quand il affiche. |
| --line-numbers | Ce paramètre permet d'afficher les numéros de ligne quand il affiche. |
| --list [chain [rulenum]] | Ce paramètre permet d'afficher la liste des règles dans une chaine ou dans toutes les chaines. |
| --list-rules [chain [rulenum]] | Ce paramètre permet d'indiquer qu'il faut afficher la règle dans une chaine ou dans toutes les chaines. |
| -m match | Ce paramètre permet d'indiquer une correspondance étendue. |
| --match match | Ce paramètre permet d'indiquer une correspondance étendue. |
| --modprobe=command | Ce paramètre permet d'essayer d'insérer les modules pendant l'exécution de cette commande. |
| -N chain | Ce paramètre permet de créer un nouvelle chaine utilisateur. |
| -n | Ce paramètre permet d'indiquer la sortie numérique des adresses et des ports. |
| --new chain | Ce paramètre permet de créer un nouvelle chaine utilisateur. |
| --numeric | Ce paramètre permet d'indiquer la sortie numérique des adresses et des ports. |
| -o output name[+] | Ce paramètre permet d'indiquer le nom de l'interface réseau. |
| --out-interface output name[+] | Ce paramètre permet d'indiquer le nom de l'interface réseau. |
| -p proto | Ce paramètre permet d'indiquer le protocole par numéro ou par nom. Exemple : «tcp». |
| -P chain target | Ce paramètre permet de changer la politique d'une chaine vers la destination. |
| --policy chain target | Ce paramètre permet de changer la politique d'une chaine vers la destination. |
| --proto proto | Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore». |
| -R chain rulenum | Ce paramètre permet de remplacer une règle spécifié dans la chaine. La première règle contient le numéro 1. |
| --rename-chain old-chain new-chain | Ce paramètre permet de changer le nom de la chaine (déplacer n'importe quel référence). |
| --replace chain rulenum | Ce paramètre permet de remplacer une règle spécifié dans la chaine. La première règle contient le numéro 1. |
| -s address[/mask][...] | Ce paramètre permet d'indiquer les spécifications de la source. |
| -S [chain [rulenum]] | Ce paramètre permet d'indiquer qu'il faut afficher la règle dans une chaine ou dans toutes les chaines. |
| --set-counters PKTS BYTES | Ce paramètre permet de fixer le compteur durant l'insertion ou l'ajout. |
| --source address[/mask][...] | Ce paramètre permet d'indiquer les spécifications de la source. |
| -t table | Ce paramètre permet d'indiquer la table de manipulation. La valeur par défaut est «filter». |
| --table table | Ce paramètre permet d'indiquer la table de manipulation. La valeur par défaut est «filter». |
| -v | Ce paramètre permet d'indiquer le mode détaillé. |
| -V | Ce paramètre permet d'indiquer qu'il faut afficher la version des paquets. |
| --verbose | Ce paramètre permet d'indiquer le mode détaillé. |
| --version | Ce paramètre permet d'indiquer qu'il faut afficher la version des paquets. |
| -x | Ce paramètre permet d'indiquer le numéros d'étendues (affiche les valeurs exactes). |
| -X [chain] | Ce paramètre permet de supprimer la chaine utilisateur. |
| -Z [chain [rulenum]] | Ce paramètre permet de compter le zéro dans une chaine ou dans toutes les chaines. |
| --zero [chain [rulenum]] | Ce paramètre permet de compter le zéro dans une chaine ou dans toutes les chaines. |
Description
Cette commande permet d'effectuer la gestion du mur de feu (Firewall) logiciel.
Remarques
- Cette commande a été durement éprouvée et est souvent fourni de base avec les distributions Linux pour serveur.
- Cette commande agit comme une chaine, ainsi, par exemple, on peut interdire tous les ports et ensuite on crée une brèche en autorisant un port en particulier.
- ATTENTION ! Le paramètre «MASQUERADE» de la commande iptables n'est pas véritablement supporté par l'OpenVZ, il faudra plutôt utiliser «SNAT» (source) ou «DNAT» (destination). Voir Articles - OpenVZ versus KVM.
Exemples
L'exemple suivant permet de demander l'état actuel du mur de feu (firewall) et des règles établies :
| iptables -L -n |
L'exemple suivant permet de demander les règles du NAT :
| iptables -t nat -L -n -v |
L'exemple suivant permet de débloquer le port par défaut de MySQL pour l'extérieur de la machine :
| iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT |
L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut que les paquets NAT de protocole non-UDP soit redirigé de l'internet vers le VPN en supposant que le IP interne soit 10.8.0.6 :
| iptables -t nat -A PREROUTING -i venet0 ! -p udp -j DNAT --to 10.8.0.6 |
L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut qu'il fait créer une exception avec le port 1194 de l'internet vers le VPN en supposant que le IP interne soit 10.8.0.6 :
| iptables -t nat -A PREROUTING -i venet0 -p udp -m udp ! --dport 1194 -j DNAT --to 10.8.0.6 |
L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut que rediriger les paquets NAT de l'internet (si votre IP de l'internet est 255.12.255.12) à l'exception de la destination locale (10.8.0.0) :
| iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 255.12.255.12 |
L'exemple suivant permet d'accepter les paquets ICMP :
| iptables -A INPUT -p icmp -j ACCEPT |
L'exemple suivant permet d'enregistrer les règles du pare-feu afin qu'ils persistent après un redémarrage :
| /sbin/service iptables save |
Voir également
Système d'exploitation - Linux - Références de commandes et de programmes - ifconfig
Système d'exploitation - Linux - Références de commandes et de programmes - netstat
Dernière mise à jour : Samedi, le 14 novembre 2015