Section courante

A propos

Section administrative du site

iptables

Tables de IP
Linux Externe

Syntaxe

iptables -I chain [rulenum] rule-specification [options]
iptables -R chain rulenum rule-specification [options]
iptables -D chain rulenum [options]
iptables -[LS] [chain [rulenum]] [options]
iptables -[FZ] [chain] [options]
iptables -[NX] chain
iptables -E old-chain-name new-chain-name
iptables -P chain target [options]
iptables -h

Paramètres

Nom Description
-4 Ce paramètre permet d'indiquer le IP version 4, mais ne fait rien. Ce paramètre est ignoré par le paramètre «ip6tables-restore».
-6 Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore».
--append chain Ce paramètre permet d'indiquer qu'il faut l'ajouter à la chaine.
-A chain Ce paramètre permet d'indiquer qu'il faut l'ajouter à la chaine.
--check chain Ce paramètre permet de vérifier l'existence d'une règle à suivre.
-C chain Ce paramètre permet de vérifier l'existence d'une règle à suivre.
-d address[/mask][...] Ce paramètre permet d'indiquer les spécifications de la destination.
-D chain Ce paramètre permet d'indiquer qu'il faut supprimer la règle correspondante pour la chaine.
-D chain rulenum Ce paramètre permet d'indiquer qu'il faut supprimer la règle avec le numéro spécifié. La première règle contient le numéro 1.
--delete chain Ce paramètre permet d'indiquer qu'il faut supprimer la règle correspondante pour la chaine.
--delete chain rulenum Ce paramètre permet d'indiquer qu'il faut supprimer la règle avec le numéro spécifié. La première règle contient le numéro 1.
--delete-chain [chain] Ce paramètre permet de supprimer la chaine utilisateur.
--destination address[/mask][...] Ce paramètre permet d'indiquer les spécifications de la destination.
-E old-chain new-chain Ce paramètre permet de changer le nom de la chaine (déplacer n'importe quel référence).
--exact Ce paramètre permet d'indiquer le numéros d'étendues (affiche les valeurs exactes).
-f Ce paramètre permet de faire correspondre le second fragment.
-F [chain] Ce paramètre permet d'indiquer qu'il faut effacer toutes les règles dans une chaine ou dans toutes les chaines.
--flush [chain] Ce paramètre permet d'indiquer qu'il faut effacer toutes les règles dans une chaine ou dans toutes les chaines.
--fragment Ce paramètre permet de faire correspondre le second fragment.
--goto chain Ce paramètre permet d'indiquer le saut vers la chaine ne retournant rien.
-g chain Ce paramètre permet d'indiquer le saut vers la chaine ne retournant rien.
-h Ce paramètre permet d'indiquer qu'il faut retourner l'aide de la commande et de terminer cette commande immédiatement après.
-i input name[+] Ce paramètre permet d'indiquer le nom de l'interface réseau.
--in-interface input name[+] Ce paramètre permet d'indiquer le nom de l'interface réseau.
--insert chain [rulenum] Ce paramètre permet d'insérer dans la chaine le numéro de règle spécifié. La valeur par défaut du numéro de règle est 1.
--ipv4 Ce paramètre permet d'indiquer le IP version 4, mais ne fait rien. Ce paramètre est ignoré par le paramètre «ip6tables-restore».
--ipv6 Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore».
-j target Ce paramètre permet d'indiquer le nom de la destination pour la règle (peut être le chargement de l'extension de destination).
--jump target Ce paramètre permet d'indiquer le nom de l'interface réseau.
-L [chain [rulenum]] Ce paramètre permet d'afficher la liste des règles dans une chaine ou dans toutes les chaines.
--line-numbers Ce paramètre permet d'afficher les numéros de ligne quand il affiche.
--line-numbers Ce paramètre permet d'afficher les numéros de ligne quand il affiche.
--list [chain [rulenum]] Ce paramètre permet d'afficher la liste des règles dans une chaine ou dans toutes les chaines.
--list-rules [chain [rulenum]] Ce paramètre permet d'indiquer qu'il faut afficher la règle dans une chaine ou dans toutes les chaines.
-m match Ce paramètre permet d'indiquer une correspondance étendue.
--match match Ce paramètre permet d'indiquer une correspondance étendue.
--modprobe=command Ce paramètre permet d'essayer d'insérer les modules pendant l'exécution de cette commande.
-N chain Ce paramètre permet de créer un nouvelle chaine utilisateur.
-n Ce paramètre permet d'indiquer la sortie numérique des adresses et des ports.
--new chain Ce paramètre permet de créer un nouvelle chaine utilisateur.
--numeric Ce paramètre permet d'indiquer la sortie numérique des adresses et des ports.
-o output name[+] Ce paramètre permet d'indiquer le nom de l'interface réseau.
--out-interface output name[+] Ce paramètre permet d'indiquer le nom de l'interface réseau.
-p proto Ce paramètre permet d'indiquer le protocole par numéro ou par nom. Exemple : «tcp».
-P chain target Ce paramètre permet de changer la politique d'une chaine vers la destination.
--policy chain target Ce paramètre permet de changer la politique d'une chaine vers la destination.
--proto proto Ce paramètre permet d'indiquer le IP version 6. Ce paramètre est ignoré par le paramètre «ip6tables-restore».
-R chain rulenum Ce paramètre permet de remplacer une règle spécifié dans la chaine. La première règle contient le numéro 1.
--rename-chain old-chain new-chain Ce paramètre permet de changer le nom de la chaine (déplacer n'importe quel référence).
--replace chain rulenum Ce paramètre permet de remplacer une règle spécifié dans la chaine. La première règle contient le numéro 1.
-s address[/mask][...] Ce paramètre permet d'indiquer les spécifications de la source.
-S [chain [rulenum]] Ce paramètre permet d'indiquer qu'il faut afficher la règle dans une chaine ou dans toutes les chaines.
--set-counters PKTS BYTES Ce paramètre permet de fixer le compteur durant l'insertion ou l'ajout.
--source address[/mask][...] Ce paramètre permet d'indiquer les spécifications de la source.
-t table Ce paramètre permet d'indiquer la table de manipulation. La valeur par défaut est «filter».
--table table Ce paramètre permet d'indiquer la table de manipulation. La valeur par défaut est «filter».
-v Ce paramètre permet d'indiquer le mode détaillé.
-V Ce paramètre permet d'indiquer qu'il faut afficher la version des paquets.
--verbose Ce paramètre permet d'indiquer le mode détaillé.
--version Ce paramètre permet d'indiquer qu'il faut afficher la version des paquets.
-x Ce paramètre permet d'indiquer le numéros d'étendues (affiche les valeurs exactes).
-X [chain] Ce paramètre permet de supprimer la chaine utilisateur.
-Z [chain [rulenum]] Ce paramètre permet de compter le zéro dans une chaine ou dans toutes les chaines.
--zero [chain [rulenum]] Ce paramètre permet de compter le zéro dans une chaine ou dans toutes les chaines.

Description

Cette commande permet d'effectuer la gestion du mur de feu (Firewall) logiciel.

Remarques

Exemples

L'exemple suivant permet de demander l'état actuel du mur de feu (firewall) et des règles établies :

iptables -L -n

L'exemple suivant permet de demander les règles du NAT :

iptables -t nat -L -n -v

L'exemple suivant permet de débloquer le port par défaut de MySQL pour l'extérieur de la machine :

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 3306 -j ACCEPT

L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut que les paquets NAT de protocole non-UDP soit redirigé de l'internet vers le VPN en supposant que le IP interne soit 10.8.0.6 :

iptables -t nat -A PREROUTING -i venet0 ! -p udp -j DNAT --to 10.8.0.6

L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut qu'il fait créer une exception avec le port 1194 de l'internet vers le VPN en supposant que le IP interne soit 10.8.0.6 :

iptables -t nat -A PREROUTING -i venet0 -p udp -m udp ! --dport 1194 -j DNAT --to 10.8.0.6

L'exemple suivant, comme l'OpenVZ en autre, permet d'indiquer qu'il faut que rediriger les paquets NAT de l'internet (si votre IP de l'internet est 255.12.255.12) à l'exception de la destination locale (10.8.0.0) :

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 ! -d 10.8.0.0/24 -j SNAT --to 255.12.255.12

L'exemple suivant permet d'accepter les paquets ICMP :

iptables -A INPUT -p icmp -j ACCEPT

L'exemple suivant permet d'enregistrer les règles du pare-feu afin qu'ils persistent après un redémarrage :

/sbin/service iptables save

Voir également

Système d'exploitation - Linux - Références de commandes et de programmes - ifconfig
Système d'exploitation - Linux - Références de commandes et de programmes - netstat

Dernière mise à jour : Samedi, le 14 novembre 2015