Conversation
precedente ou
suivante
question sur hiérarchie des règles iptables
Envoyé par:
deb
bonsoir
La hiérarchie des règles iptables m'est encore un peu obscure :
Je mets en place plusieurs règles de la table "filter"
et la chaîne INPUT, schématiquement cela donne :
règle 1
règle 2
règle 3
...
Comment un paquet passe-t-il de règle en règle ?
Est-ce dans l'ordre où l'on a écrit les règles ( ici 1,2,3,... ) ?
Si j'ai bien compris, tant que le paquet n'est pas accepté
par une règle il passe à la suivante. Mais s'il est accepté par,
mettons, la 2eme règle, est-ce qu'il passe qd même par les règles suivantes ?
c'est important pour les règles de log, car si elles viennent après
toutes les autres règles et que la paquet est accepté avant : pas de log !!
merci d'éclairer ma lanterne
bonne soirée
deb
Poste le Thursday 27 January 2005 18:38:10
Re: question sur hiérarchie des règles iptables
Envoyé par:
greywolf
c'est bien dans l'ordre dans lequel les règles sont écrites.
une cible ACCEPT, REJECT, DROP arrête le cheminement du paquet dans les règles, contrairement à la cible LOG qui fait logger le paquet et le laisse poursuivre (on met de côté QUEUE pour envoyer un paquet en espace utilisateur)
une cible ACCEPT, REJECT, DROP arrête le cheminement du paquet dans les règles, contrairement à la cible LOG qui fait logger le paquet et le laisse poursuivre (on met de côté QUEUE pour envoyer un paquet en espace utilisateur)
Poste le Thursday 27 January 2005 18:45:37
Re: question sur hiérarchie des règles iptables
Envoyé par:
deb
merci pour ta réponse greywolf
donc il vaut mieux spécifier les règles de log en premier
je suis curieux de savoir ce qu'est la règle QUEUE
qu'est-ce qui se passe si je fais une règle d'entrée avec cette cible ?
J'ai une autre questions, je ne voudrais autoriser l'accès
au web qu'à certaines applications en qui j'ai confiance, j'ai vu
qu'avec iptables on peut spécifier "--pid-owner id_du_processus"
mais il y a pas de moyen automatique de faire correspondre de tels
règles avec les applications type mozilla/slogin dont on ne connaît pas
le PID à l'avance
Poste le Thursday 27 January 2005 19:01:09
Re: question sur hiérarchie des règles iptables
Envoyé par:
greywolf
y'a toujours --cmd-owner où tu peux placer le nom de l'exécutable (mais c'est juste une comparaison de la chaine de caractère si je me souviens bien et pas vraiment d'une vérification réelle de l'exécutable)
Poste le Thursday 27 January 2005 19:33:59
Re: question sur hiérarchie des règles iptables
Envoyé par:
Perramus
Salut,
donc il vaut mieux spécifier les règles de log en premier
En fait ça dépend de ce que tu veux loguer... si par exemple tu logues les paquets en DROP et que tes seules chaînes DROP sont les politiques par défaut, il faudra mettre tes règles à la fin ( elles logueront tous les paquets qui n'ont pas trouvé de règles juste avant qu'ils soient jetés )...
donc il vaut mieux spécifier les règles de log en premier
En fait ça dépend de ce que tu veux loguer... si par exemple tu logues les paquets en DROP et que tes seules chaînes DROP sont les politiques par défaut, il faudra mettre tes règles à la fin ( elles logueront tous les paquets qui n'ont pas trouvé de règles juste avant qu'ils soient jetés )...
Poste le Friday 28 January 2005 12:14:19
Ce forum !
question sur hiérarchie des règles iptables
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons