Caleca 11 NetFilter IPtables

L'internet Rapide et Permanent
NetFilter et IPtables
Par Christian Caleca
Date de publication : 3 mars 2009
Vous disposez d'une connexion permanente et rapide et maintenant, vous tes perdu
dans la technique
Cette srie L'internet Rapide et Permanent , que Christian Caleca nous a aimablement
autoriss reproduire, est l pour rpondre quelques-unes de ces questions. Cet article
parlera de la scurit et du filtrage sur TCP/IP avec les outils NetFilter et IPtables.
N'hsitez pas commenter cet article !
L'internet Rapide et Permanent par Christian Caleca
1 - Prambule.............................................................................................................................................................. 4
2 - Architecture............................................................................................................................................................ 4
2-1 - Avant-propos..................................................................................................................................................4
2-1-1 - Avertissement important ceux qui matrisent IPchains......................................................................4
2-1-2 - Avertissement aux utilisateurs exclusifs des interfaces graphiques..................................................... 4
2-2 - Position du problme.................................................................................................................................... 5
2-2-1 - Topologie de la machine Linux.............................................................................................................5
2-2-2 - Netfilter dans la pile IP......................................................................................................................... 6
2-2-3 - Ce que sait faire Netfilter......................................................................................................................7
2-2-4 - Comment Netfilter sait le faire..............................................................................................................7
2-3 - Les tables et leurs chanes........................................................................................................................... 7
2-3-1 - La table Filter .................................................................................................................................. 7
2-3-2 - La table NAT......................................................................................................................................... 8
2-3-3 - La table MANGLE.................................................................................................................................8
2-3-4 - Les chanes...........................................................................................................................................8
2-3-5 - Les cibles.............................................................................................................................................. 8
2-4 - La commande IPtables ............................................................................................................................9
3 - Conntrack............................................................................................................................................................... 9
3-1 - Le suivi de connexion................................................................................................................................... 9
3-1-1 - Exprience prliminaire........................................................................................................................ 9
3-1-2 - Premires dductions......................................................................................................................... 11
3-2 - Et pour UDP ?............................................................................................................................................. 11
3-3 - Dans la pratique.......................................................................................................................................... 11
4 - Filter, la table de filtrage...................................................................................................................................... 12
4-1 - Rappel d'avertissement important............................................................................................................... 13
4-1-1 - Vous ne me croyez pas ?...................................................................................................................13
4-2 - Initialisation de Netfilter............................................................................................................................... 13
4-3 - Mise en place de Masquerade....................................................................................................................14
4-3-1 - Et maintenant, la manip dcisive.................................................................................................... 14
5 - La table de translation d'adresses.......................................................................................................................14
5-1 - Remarques importantes.............................................................................................................................. 14
5-1-1 - Mais qu'est-ce que c'est exactement ?.............................................................................................. 15
5-1-2 - Mais quoi a sert ?..........................................................................................................................15
5-1-2-1 - Le masquage d'adresse............................................................................................................. 15
5-1-2-2 - Le NAT de destination................................................................................................................15
5-1-2-3 - Le cas du proxy transparent...................................................................................................... 16
5-2 - Et comment a marche ?............................................................................................................................ 17
6 - Et le reste......................................................................................................................................................... 18
6-1 - Mangle......................................................................................................................................................... 18
6-2 - Les logs....................................................................................................................................................... 19
6-3 - La cible LOG............................................................................................................................................... 20
6-4 - La cible ULOG.............................................................................................................................................20
7 - IPtables.................................................................................................................................................................21
7-1 - Manipulations diverses................................................................................................................................ 21
7-1-1 - Initialisation des tables........................................................................................................................21
7-1-1-1 - O en sommes-nous ?...............................................................................................................22
7-1-2 - Ouvrons quelques portes....................................................................................................................22
7-1-3 - Faisons maintenant du NAT............................................................................................................... 23
7-1-4 - Utilisation de conntrack .................................................................................................................23
7-1-4-1 - Le chapeau magique..................................................................................................................24
7-1-4-2 - O en somme nous ?................................................................................................................ 25
7-1-5 - Amlioration possibles........................................................................................................................ 25
7-1-5-1 - Un DNS local............................................................................................................................. 25
7-1-5-2 - Un SMTP local........................................................................................................................... 25
7-1-5-3 - Un accs SSH depuis le Net..................................................................................................... 26
7-1-5-4 - ICMP, c'est parfois utile..............................................................................................................26
7-2 - Encore une dernire recette....................................................................................................................... 27
7-3 - Le FTP actif.................................................................................................................................................28
-2-
Les sources prsentes sur cette page sont libres de droits et vous pouvez les utiliser votre convenance. Par contre, la page de
prsentation constitue une uvre intellectuelle protge par les droits d'auteur. Copyright 2009 Christian Caleca. Aucune reproduction,
mme partielle, ne peut tre faite de ce site et de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation
expresse de l'auteur. Sinon vous encourez selon la loi jusqu' trois ans de prison et jusqu' 300 000 de dommages et intrts.
7-4 - Pour conserver tout ce beau travail............................................................................................................28

7-5 - Conclusions................................................................................................................................................. 29
7-6 - D'autres sources d'informations.................................................................................................................. 30
8 - Remerciements Developpez................................................................................................................................ 30
-3-
1 - Prambule
On peut parler l'infini des avantages compars de Linux face aux systmes Microsoft et rciproquement, il semble
mme possible de russir dclencher quelques guerres de religion ce sujet, il y a tout de mme un domaine o
la discussion est impossible, sauf peut-tre avec une mauvaise foi extrme, c'est celui de la gestion des rseaux.
Mme si Windows 2000 est en trs net progrs par rapport Windows NT4 (nous parlons ici des versions server ).
Les noyaux Linux 2.6.x avec IPTables et IPRoute2 disposent, mon sens, d'une trs confortable avance.
Ces versions 2.6 du noyau Linux sont particulirement riches dans ce domaine et il devient sans doute possible
de raliser avec ce systme des passerelles et des firewalls aussi performants sinon plus, que certains matriels
spcialiss.
IProute2 constitue une nouvelle approche de la gestion des routes inter rseaux. IProute2 mriterait lui seul un
chapitre complet. Nous ne ferons ici que l'voquer.
Netfilter permet de faire beaucoup plus de choses en matire de filtrage de paquets et de translation d'adresses
que ses prdcesseurs, ce qui fait de Linux 2.6 un outil de choix pour la ralisation de passerelles entre rseaux
privs et l'Internet.
Ce chapitre a pour but de prsenter succinctement l'architecture et les principales fonctionnalits de Netfilter, dans
le cadre d'un rseau domestique connect au Net par une ligne haut dbit type cble ou ADSL. Si vous voulez
absolument tout savoir sur Netfilter, il vous faudra chercher galement ailleurs. La premire source consulter (de
toute manire, je n'ai rien invent, je me suis content d'essayer de rendre plus digestes les documents initiaux),
c'est :
Rusty's Remarkably Unreliable Guides

ce sont les documentations officielles. Vous y trouverez mme des documents traduits en franais.
2 - Architecture
2-1 - Avant-propos
2-1-1 - Avertissement important ceux qui matrisent IPchains
NetFilter avec IPtables n'a pas du tout la mme architecture, le fonctionnement est diffrent, mme si la syntaxe
d'IPtables peut paratre proche de celle d'IPchains.
En particulier, les chanes INPUT et OUTPUT ne contrlent pas tout ce qui entre et sort de la passerelle, routage
compris, mais uniquement ce qui entre en direction de la passerelle elle-mme et sort de la passerelle elle-mme.
Entendez par l que tout le trafic entre le rseau priv masqu par le NAT et l'Internet ne sera aucunement influenc
par ces deux chanes. Nous verrons en dtail plus loin pourquoi et comment.
Finalement, le meilleur conseil donner aux utilisateurs d'IPchains, c'est d'oublier purement et simplement tout ce
qu'ils savent sur le sujet
2-1-2 - Avertissement aux utilisateurs exclusifs des interfaces graphiques

Avec les versions 2.2.x, nous avions l'excellent outil gfcc qui permettait de faire peu prs tout ce qu'il tait possible
de faire avec IPchains. Malheureusement, avec IPtables, je n'ai pas encore trouv d'outil quivalent l'heure o
j'cris ces lignes. Essayez de voir avec knetfilter, mais ce n'est pas du tout la mme chose.
-4-
2-2 - Position du problme

Comme d'habitude sur ce site, l'expos s'appuie sur une passerelle Linux mettant en relation un rseau priv avec
le Net, au moyen d'une liaison haut dbit et permanente de type cble ou ADSL. Si vous ne savez pas faire, voyez
le chapitre Partage de connexion .
2-2-1 - Topologie de la machine Linux

La machine Linux dispose de deux interfaces Ethernet. Ici :
Eth0 sur le rseau local (priv) ;

Eth1 sur l'Internet via le modem cble du fournisseur d'accs. Cette interface, le plus souvent, sert de support
PPPoE.
Il faut bien comprendre qu'a priori, il peut entrer et sortir des donnes de chaque interface.
Il peut entrer et sortir des donnes par Eth0, parce qu'un client du rseau local tablit une connexion avec un
service install sur la passerelle, Samba par exemple, pour le partage de fichiers avec Windows ;
Il peut entrer et sortir des donnes par Eth1 (ou la connexion ppp qui y est associe) parce qu'un client situ
sur le Net tablit une connexion avec un service install sur la passerelle, une session SSH ou telnet par
exemple (SSH, c'est mieux). Il peut se faire aussi que cette connexion s'tablisse votre insu, parce qu'un
pirate est en train de prendre possession de votre machine (mais ceci est une autre histoire, dveloppe au
chapitre de la scurit) ;
Il peut se faire galement qu'une connexion s'tablisse entre un poste du rseau priv et un serveur situ sur
le Net. Dans ce cas, les paquets entreront par une interface et sortiront par l'autre.
En toute rigueur, il est galement possible qu'une connexion s'tablisse entre un client situ sur le Net
et un serveur situ sur votre rseau priv (si si, c'est possible aussi, bien que dans le cadre d'un rseau
domestique, ce ne soit pas ncessaire, ni mme souhaitable). L aussi, les paquets qui entrent par une
interface sortiront par l'autre.
Quel que soit le cas de figure vu plus haut, dans ce qui suit, nous ne ferons pas de sgrgation sur l'interface
par laquelle les paquets entrent ni l'interface par laquelle les paquets sortent. Cette sgrgation interviendra
ventuellement dans les rgles que nous crirons avec IPtables.
-5-
2-2-2 - Netfilter dans la pile IP
En tout tat de cause, dans l'explication qui suit, quelles que soient l'origine et la destination des paquets, ils vont
entrer dans la pile de protocoles IP par le mme point et en sortir par le mme autre point. Netfilter se prsente
comme une srie de 5 hooks (points d'accrochage), sur lesquels des modules de traitement des paquets vont
se greffer. Ces points sont :
NF_IP_PRE_ROUTING ;
NF_IP_LOCAL_IN ;
NF_IP_FORWARD ;
NF_IP_POSTROUTING ;
NF_IP_LOCAL_OUT.
La branche gauche reprsente le trajet des paquets qui entrent et qui sortent vers et depuis un processus local
(SMB, FTP, HTTP, etc.). La branche de droite reprsente le trajet des paquets qui traversent notre passerelle dans
sa fonction de routeur.
Que l'on peut reprsenter autrement ainsi :
Attention toutefois, ces diagrammes sont faux, dans la mesure o ils sont largement simplifis. Leur but est
uniquement de montrer o Netfilter vient interagir avec la pile IP, en aucun cas, il ne reprsente l'architecture complte
de la pile IP.
-6-
2-2-3 - Ce que sait faire Netfilter

travers ces cinq points d'insertion, Netfilter va tre capable :
d'effectuer des filtrages de paquets, principalement pour assurer des fonctions de Firewall. On pourra par
exemple interdire tous les paquets venant de l'Internet et s'adressant au port 80 (HTTP) de passer. Notre
serveur APACHE est un serveur Intranet et ne doit pas tre accessible depuis l'extrieur ;
d'effectuer des oprations de NAT (Network Address Translation). Ces fonctions sont particulirement utiles
lorsque l'on veut faire communiquer tout ou partie d'un rseau priv, mont avec des adresses IP prives
(192.168.x.x par exemple) avec l'Internet ;
d'effectuer des oprations de marquage des paquets, pour leur appliquer un traitement spcial. Ces
fonctionnalits sont particulirement intressantes sur une passerelle de rseau d'entreprises, un peu moins
pour notre cas de rseau domestique.
2-2-4 - Comment Netfilter sait le faire

Netfilter dispose d'une commande tout faire : IPtables. Cette commande va permettre, entre autres, d'crire des
chanes de rgles dans des tables. Il y a dans Netfilter trois tables qui correspondent aux trois principales fonctions
vues plus haut.
2-3 - Les tables et leurs chanes

Il existe trois tables qui vont servir contenir des rgles de filtrage :
2-3-1 - La table Filter

Cette table va contenir toutes les rgles qui permettront de filtrer les paquets. Cette table contient trois chanes :
la chane INPUT.
Cette chane dcidera du sort des paquets entrant localement sur l'hte ;
la chane OUTPUT.
Ici, ce ne sont que les paquets mis par l'hte local qui seront filtrs ;
la chane FORWARD.
Enfin, les paquets qui traversent l'hte, suivant les routes implantes, seront filtrs ici.
-7-
2-3-2 - La table NAT

Cette table permet d'effectuer toutes les translations d'adresses ncessaires.
La chane PREROUTING.
Elle permet de faire de la translation d'adresse de destination. Cette mthode est intressante si l'on veut
faire croire au monde extrieur, par exemple, qu'il y a un serveur WEB sur le port 80 de la passerelle, alors
que celui-ci est hberg par un hte du rseau priv, sur le port 8080.
La chane POSTROUTING.
Elle permet de faire de la translation d'adresse de la source, comme du masquage d'adresse, la mthode
classique pour connecter un rseau priv comme client de l'Internet, avec une seule adresse IP publique.
La chane OUTPUT.
Celle-ci va permettre de modifier la destination de paquets gnrs localement (par la passerelle elle-mme).
2-3-3 - La table MANGLE

Cette table permet le marquage des paquets entrants (PREROUTING) et gnrs localement (OUTPUT). Le
marquage de paquets va permettre un traitement spcifique des paquets marqus dans les tables de routage avec
IPROUTE 2. Ceci nous mnerait trop loin. Si vous tes intress par cette question, voyez ce sujet le document :
Linux Advanced Routing and Traffic Control HOWTO.
Depuis la version 2.4.18 du noyau, d'autres tables ont t rajoutes sur tous les hooks. Nous avons ainsi notre
disposition les tables supplmentaires INPUT, POSTROUTING et FORWARD
2-3-4 - Les chanes

Les chanes sont des ensembles de rgles que nous allons crire dans chaque table. Ces chanes vont permettre
d'identifier des paquets qui correspondent certains critres.
2-3-5 - Les cibles

Les cibles enfin sont des sortes d'aiguillages qui dirigeront les paquets satisfaisant aux critres . Les cibles
prconstruites sont :
ACCEPT
Les paquets qui satisfont aux critres sont accepts, ils continuent leur chemin dans la pile ;
DROP
Les paquets qui satisfont aux critres sont rejets, on les oublie, on n'envoie mme pas de message ICMP.
Un trou noir, quoi ;
LOG
C'est une cible particulire qui permet de tracer au moyen de syslog les paquets qui satisfont aux critres ;
Suivant les contextes, d'autres cibles deviennent accessibles, comme REJECT (similaire DROP, mais avec envoi
d'un message d'erreur ICMP la source du paquet rejet), RETURN, REDIRECT, SNAT, DNAT, MASQUERADE
En franais, nous pourrons faire des choses de ce genre :
par dfaut, tous les paquets qui entrent sont rejets (DROP) ;
les paquets qui entrent par le port 80 sur l'interface eth0 sont accepts ;
les paquets qui sortent par le port 80 sur l'interface eth0 sont accepts ;
etc.
Nous verrons cela plus en dtail dans les divers exemples.

-8-
2-4 - La commande IPtables

IPtables est en quelque sorte l'interface utilisateur de Netfilter. Dans sa partie visible, tout ceci ressemble aux bonnes
vieilles IPchains (noyaux 2.2), mais ici, ce n'est qu'une interface de commande de Netfilter. La syntaxe est plus
complte et plus rigoureuse.
3 - Conntrack
3-1 - Le suivi de connexion
Le suivi de connexion est un concept essentiel dans Netfilter. C'est une sorte d'intelligence artificielle qui permet
d'tablir des liens de cause effet entre les paquets qui passent dans la pile. Il faut, un moment donn, dire quelques
mots propos de ce suivi de connexion. Comme c'est une notion qui va intervenir aussi bien dans le filtrage que
dans la traduction d'adresses, autant en parler tout de suite.
3-1-1 - Exprience prliminaire

Le principe du suivi de connexion permet de raliser un firewall statefull , c'est--dire qu'il va ragir intelligemment
sur une connexion donne, suivant son tat. Voyez ventuellement ce propos le chapitre sur la scurit. Comme ce
n'est pas trs simple d'expliquer a, nous allons observer un exemple sur le terrain. Nous allons tablir une connexion
TCP partir du protocole HTTP :
No. Time
10 10.181832
11 10.204707
12 10.204848
13 10.205333
Source
192.168.0.10
212.27.35.1
192.168.0.10
192.168.0.10
Destination
212.27.35.1
192.168.0.10
212.27.35.1
212.27.35.1
Protocol
TCP
TCP
TCP
HTTP
Info
4252 > http [SYN]
http > 4252 [SYN, ACK]
4252 > http [ACK]
GET / HTTP/1.1
L'tablissement d'une connexion TCP suit un protocole strict :
une requte de synchronisation [SYN] de la part de l'initiateur du dialogue (le client) ;

une rponse d'accus de rception de la synchronisation [SYN, ACK] de la part du serveur ;
un accus de rception du client [ACK].
Observons galement les sockets.
Trame n10 :
Le client [192.168.0.10] s'adresse au serveur [212.27.35.1] sur le port http (80). Il attend une rponse sur le
port 4252. C'est un numro pris plus ou moins au hasard. A priori, personne ne peut le deviner l'avance ;
Trame n11 :
Le serveur, bien lev, rpond au client sur le port demand (4252)
La mme chose, mais plus dtaille, ce qui donne l'occasion de voir l'ensemble des flags exploitables au niveau
TCP :
Frame 10 (62 bytes on wire, 62 bytes captured)
...
Transmission Control Protocol
Source port: 4252 (4252)
Destination port: http (80)
Sequence number: 3290220049
Header length: 28 bytes
Flags: 0x0002 (SYN)
0... .... = Congestion Window Reduced (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
-9-
...
....
....
....
....
0...
.0..
..1.
...0
=
=
=
=
Push: Not set

Reset: Not set
Syn: Set
Fin: Not set

...
Source port: http (80)
Destination port: 4252 (4252)
Acknowledgement number: 3290220050
Flags: 0x0012 (SYN, ACK)
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
...
...
Source port: 4252 (4252)
Destination port: http (80)
Acknowledgement number: 1602605976
Flags: 0x0010 (ACK)
...1 .... = Acknowledgment: Set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...0 = Fin: Not set
Window size: 16944
Checksum: 0xe79b (correct)
De ces premires observations, nous pouvons dduire quelques choses intressantes. En considrant des changes
TCP entre deux sockets toujours les mmes :
lorsqu'un paquet TCP contient le flag SYN, c'est que c'est une nouvelle connexion qui commence ;
lorsqu'un paquet TCP contient les flags SYN et ACK, c'est que la connexion est accepte, elle est donc
tablie ;
lorsqu'un paquet ne contient que le flag ACK, c'est que la connexion se continue.
Mais voyons un peu plus loin

No. Time
Source
29 10.427697
192.168.0.10
30 10.731147
192.168.0.10
class="bhly">[SYN]
31 10.752981
212.27.35.1
32 10.753165
192.168.0.10
33 10.753707
192.168.0.10
34 10.780941
192.168.0.10
Destination
212.27.35.1
212.27.35.1
Protocol Info
TCP
4252 > http [ACK]
TCP
span class="bhly">4253 > http span
192.168.0.10
212.27.35.1
212.27.35.1
212.27.35.1
TCP
TCP
HTTP
TCP
http > 4253 [SYN, ACK]

4253 > http [ACK]
GET /images/titre.gif HTTP/1.1
4252 > http [FIN, ACK]
Ce que nous observons ici, c'est l'tablissement d'une nouvelle connexion TCP entre les mmes protagonistes. Bien
entendu pour viter les mlanges, le port du client n'est plus le mme. C'est cette fois-ci 4253.
- 10 -
Autrement dit, le mme client (192.168.0.10) ouvre une nouvelle connexion TCP sur le mme serveur (212.27.35.1),
toujours sur le port 80, mais attend les rponses sur un nouveau port, alors que la connexion prcdente existe
toujours.
Le client met fin la prcdente (trame 34) avec le flag [FIN] une fois seulement que la seconde connexion est tablie.
Dans ces conditions, il est pertinent de penser que cette nouvelle connexion est en relation directe avec la premire.
Nous dirons que c'est une connexion en relation avec la premire.
3-1-2 - Premires dductions

Si l'on met en place un systme capable de mmoriser ce qu'il se passe sur la couche TCP, alors il va devenir possible
de savoir si une connexion est dans l'un de ces tats :
NEW
nouvelle connexion (elle contient le flag SYN) ;
ESTABLISHED
connexion dj tablie, elle ne devrait pas contenir de SYN ni de FIN ;
RELATED
la connexion prsente une relation directe avec une connexion dj tablie ;
INVALID
la connexion n'est pas conforme, contient un jeu de flags anormal, n'est pas classable dans l'une des trois
catgories prcdentes.
Ceci est intressant, parce que l'on pourra interdire priori toute connexion NEW d'entrer dans notre installation, il
n'y a aucune raison qu'il en rentre si nous n'avons pas de serveur. ventuellement, nous pourrons par exemple crer
des exceptions pour les ports SSH, si nous souhaitons accder notre machine depuis le Net.
En revanche, toute connexion ESTABLISHED ou RELATED devra pouvoir entrer depuis le Net.
Dans l'autre sens, du LAN vers le Net, les paquets NEW doivent pouvoir passer, de mme, bien entendu que les
ESTABLISHED et les RELATED.
Les paquets INVALID pourront ventuellement tre tracs dans les logs.
3-2 - Et pour UDP ?

L, c'est plus dlicat puisqu'il n'y a justement pas de connexion. Il sera donc impossible de dfinir de faon prcise
l'tat d'un change UDP. Ce que l'on pourra faire, c'est mettre en place un timer pour dcider de l'tat d'un paquet
UDP. Nous pouvons prendre l'exemple simple d'une requte DNS depuis notre rseau priv.
Le premier paquet UDP sort de notre rseau, sur un port connu et identifi (53) vers un serveur DNS. Nous
pouvons dcider de le laisser passer et nous le qualifions de NEW. Il dclenche un timer ;
Si avant expiration du timer , nous recevons un paquet UDP dudit serveur DNS, nous considrerons que
c'est un paquet ESTABLISHED.
3-3 - Dans la pratique

Un module principal de suivi de connexion est charg dynamiquement en cas de besoin, il s'agit du module
ip_conntrack. Cependant, tout n'est pas toujours si simple et ce module peut montrer ses limites sur des protocoles
particulirement complexes, par exemple FTP.
ip_conntrack ne pourra assurer qu'une connexion FTP de type passive. Si l'on souhaite assurer le suivi de connexion
sur du FTP en mode actif, il faudra avoir recours au module spcialis nf_conntrack_ftp. Mais celui-ci ne se chargera
- 11 -
pas dynamiquement. Nous aurons le charger nous-mme. Nous aurons aussi besoin dans ce cas de nf_nat_ftp;
si notre passerelle fait du NAT.
Nous verrons sur le terrain le travail de conntrack dans divers exemples.
4 - Filter, la table de filtrage

C'est la table qui va permettre de filtrer tous les paquets qui entrent et sortent de notre machine. Il n'y a ici aucune
modification de ces paquets, ils seront compars des critres dfinis dans la table Filter. Dans notre cas, il peut
se passer deux choses diffrentes :
un paquet qui entre est destin un processus de l'hte (serveur HTTP, FTP) ;
un paquet qui entre est destin un autre rseau, c'est alors une fonction de routage.
Un paquet entre dans notre machine. Peu importe par quelle interface il entre, il peut venir aussi bien du rseau local
que de l'Internet. Il passe d'abord par la fonction de dcision de routage. C'est elle qui va dterminer si le paquet est
destin un processus local de l'hte ou un hte sur un autre rseau.
Si le paquet est destin l'hte local :
il traverse la chane INPUT,
s'il n'est pas rejet, il est transmis au processus impliqu. Ce processus va donc le traiter et
ventuellement mettre un nouveau paquet en rponse,
ce nouveau paquet traverse la chane OUTPUT,
s'il n'est pas rejet, il va vers la sortie ;

Si le paquet est destin un hte d'un autre rseau :
il traverse la chane FORWARD,
s'il n'est pas rejet, il poursuit alors sa route.
Une autre faon de reprsenter graphiquement tout a serait la suivante :
- 12 -
la chane INPUT sera raccroche au hook NF_IP_LOCAL_IN ;

la chane OUTPUT au hook NF_IP_LOCAL_OUT ;
la chane FORWARD NF_IP_FORWARD.
4-1 - Rappel d'avertissement important

Pour ceux qui ont travaill avec IPchains, notez que la dmarche est ici diffrente et a va peut-tre vous poser pas
mal de problmes
Avec IPChains
TOUS les paquets entrants passaient par
les chanes INPUT qu'ils soient destins
un process local o au routage ; TOUS les
paquets sortants passaient par la chane
OUTPUT, qu'ils soient issus d'un process
local ou destins au routage.
Avec IPtables
SEULS les paquets destins un process
local traversent la chane INPUT ; SEULS
les paquets issus d'un process local
traversent la chane OUTPUT ; SEULS les
paquets destins au routage traversent la
chane FORWARD.
L'illustration ci-dessus le montre bien, et ceci va conduire d'normes erreurs, si l'on se contente de traduire les
anciennes rgles IPChains en rgle IPTables, sans prcaution particulires.
4-1-1 - Vous ne me croyez pas ?

Alors, avant d'aller plus loin, faites la manip suivante sur votre passerelle Linux 2.6.x.
4-2 - Initialisation de Netfilter
Tapez successivement les commandes suivantes pour initialiser votre systme :

iptables
iptables
iptables
iptables
-F
-X
-t nat -F
-t nat -X
De cette manire, vous avez toutes vos chanes vides, avec par dfaut la rgle ACCEPT :
iptables -L
L'affichage va vous assurer que les trois chanes INPUT, FORWARD et OUTPUT sont vides et ont bien la rgle par
dfaut ACCEPT.
iptables -t nat -L
- 13 -
L'affichage va vous assurer que les trois chanes PREROUTING, POSTROUTING et OUTPUT sont vides et ont bien
la rgle par dfaut ACCEPT.
4-3 - Mise en place de Masquerade

Tapez maintenant les commandes suivantes :
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
O ppp0 reprsente l'interface connecte l'Internet. Remplacez ventuellement, si votre configuration est diffrente.
Ceci signifie en gros : Tout ce qui sort du routage (-A POSTROUTING) et qui doit passer vers l'Internet (-o ppp0) doit
subir un masquage d'adresse (-j MASQUERADE) :
echo 1 > /proc/sys/net/ipv4/ip_forward
Ceci pour tre certain que votre noyau autorise le routage. Vous n'en avez pas besoin, si votre machine est configure
par dfaut pour assurer le routage.
Voil. Votre passerelle entre le rseau priv et l'Internet doit tre oprationnelle.
Vrifiez que, depuis votre passerelle Linux, vous avez bien accs au Net ;
Vrifiez que, depuis un poste de votre rseau priv, vous avez bien accs au Net.
Attention, dans cet tat, vous n'avez rigoureusement aucune dfense contre d'ventuelles intrusions ! Passez
rapidement la suite.
4-3-1 - Et maintenant, la manip dcisive

Pour bien montrer que les chanes INPUT et OUTPUT n'interviennent pas dans le routage, nous allons tout
simplement leur mettre DROP comme rgle par dfaut. Attention, il faut que vos clients utilisent un DNS situ ailleurs
que sur votre passerelle Linux, sinon, a ne fonctionnera pas cause du DNS.
Tapez les commandes suivantes :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -L
(pour vrifier que INPUT et OUTPUT droppent bien tout ce qui passe).
Vrifiez que, depuis votre passerelle Linux, vous n'avez plus accs au Net (ni votre rseau priv d'ailleurs) ;
Vrifiez que, depuis un poste de votre rseau priv, vous avez toujours l'accs au Net.
Convaincu ? INPUT et OUTPUT n'interviennent absolument pas dans le routage. Toutes les rgles que vous
pourrez y mettre ne concerneront que la scurit de la passerelle elle-mme, mais pas de votre rseau priv.
5 - La table de translation d'adresses

5-1 - Remarques importantes
La traduction d'adresse (NAT comme Network Address Translation) est prendre ici au sens le plus large, puisque
cette table permet non seulement de faire de la translation stricte d'adresses, mais galement de la translation de
ports et un mlange des deux, dont le masquage d'adresse est une forme particulire.
- 14 -
5-1-1 - Mais qu'est-ce que c'est exactement ?

Dans un datagramme, en plus des donnes, on trouve galement quelques informations concernant le protocole
utilis et des identificateurs de l'metteur et du destinataire. Ce sont ces identificateurs qui nous intressent :
l'adresse IP du destinataire ;
le port du service utilis sur le destinataire.
Ces informations constituent une socket , elles sont indispensables pour arriver joindre le bon service sur le bon
serveur, par exemple le service HTTP du serveur www.developpez.com.
L'adresse IP de l'metteur ;
Le port de rponse.
Ces informations constituent une autre socket , elles sont indispensables pour que l'metteur
d'un paquet puisse esprer recevoir une rponse.
Avec les fonctions NAT de Netfilter, lorsqu'un paquet transite par notre passerelle, nous allons pouvoir bricoler ces
sockets absolument comme on le dsire. Par exemple, nous pourrons changer l'adresse de l'metteur ou le port de
l'metteur ou les deux. Nous pouvons aussi changer l'adresse du destinataire, ou le port du destinataire, ou les deux.
5-1-2 - Mais quoi a sert ?

a sert une quasi infinit de choses. Parmi les plus intressantes, citons :
5-1-2-1 - Le masquage d'adresse

C'est une fonction fondamentale lorsque l'on souhaite connecter un rseau priv l'Internet lorsque l'on ne dispose
que d'une seule IP valide sur le Net, mme si celle-ci est dynamique, ce qui est le cas qui nous intresse le plus. Les
clients sont sur le rseau priv et les serveurs sont sur le Net. C'est une forme particulire de SNAT (Source NAT)
C'est ce que sont capables de faire tous les routeurs SOHO (Small Office, Home Office) qui permettent de relier un
petit rseau local l'Internet, lorsque l'on ne dispose que d'un accs RTC, NUMERIS, Cble, ADSL Un simple
(trs) vieux PC (un 486 suffit) quip d'un Linux 2.6.x permet de le faire aussi bien sinon mieux.
5-1-2-2 - Le NAT de destination

Ici, c'est pour rsoudre les problmes qui apparaissent dans l'autre sens. Les clients sont sur le Net et les serveurs
sont sur le rseau priv.
Imaginons que nous n'ayons qu'une seule IP valide sur le Net et que nous voulions tout de mme offrir des services
tels que HTTP, FTP, SMTP, POP et peut-tre d'autres encore. Comment faire ? La rponse triviale consiste dire :
J'ai droit une seule IP, donc je place tous ces serveurs sur la mme machine, celle qui a la seule IP laquelle
j'ai droit.
- 15 -
Oui, mais la dmarche est simpliste :
comment assurer un minimum de scurit sur une machine ouverte de tous les cts ?
comment faire pour assurer une disponibilit suffisante chaque service dans les montes en charge ?
Cette solution ne parat finalement pas trs acceptable, mais comment faire autrement ? Tout simplement avec NAT.
La machine frontale sera un simple routeur NAT. Ct Internet, elle possde la seule IP valide disponible, elle va
faire croire que tous les services sont dessus, mais en ralit, lorsqu'elle va recevoir un paquet dont le socket de
destination est 62.161.96.47:80, elle va remplacer a vite fait par 192.168.0.1:80 et router le paquet vers le serveur
HTTP. Lorsque la rponse du serveur va lui parvenir, elle remplacera le socket de l'metteur (192.168.0.1:80) par
62.161.96.47:80 et enverra a sur le Net. Tout le monde n'y verra que du feu.
Bien entendu, le routeur NAT est capable de faire a pour chacun des autres serveurs :
ce qui lui arrivera sur les ports 20 et 21 sera redirig sur le serveur FTP (en ralit, le cas du FTP est bien
plus difficile rsoudre que a. Il faudra d'abord lire le chapitre sur FTP) ;
ce qui lui arrivera sur le port 25 sera redirig sur le serveur SMTP/POP3 service SMTP ;
ce qui lui arrivera sur le port 110 sera redirig sur le serveur SMTP/POP3 service POP3.
5-1-2-3 - Le cas du proxy transparent

Bien qu'a priori, cette possibilit soit sans intrt sur un rseau domestique, je prfre en parler parce que ce sujet
peut revtir une certaine gravit quant aux atteintes aux liberts individuelles.
Tout le monde sait ce qu'est un proxy (serveur mandataire, en franais) ? C'est un serveur auquel on s'adresse pour
qu'il nous fournisse des informations situes sur un autre serveur, sur les protocoles HTTP et FTP essentiellement..
Le principal avantage d'un proxy est qu'il garde en mmoire dans un cache toutes les informations qu'il est dj all
chercher. Si, sur un rseau priv, 10 personnes cherchent la mme information, elle ne sera tlcharge qu'une fois
sur le Net. L'avantage vident est l'optimisation de la bande passante sur le lien Internet, lorsque le rseau priv est
un peu consquent. L'autre avantage, c'est que l'on peut raliser un firewall applicatif pour le protocole HTTP.
Dans ce cas, on n'utilisera plus seulement un filtrage de paquets, mais galement un filtrage sur le protocole luimme, ce qui permet, par exemple, de faire du contrle parental ou du contrle du trafic web tout court.
- 16 -
Face cet avantage, il y a pas mal d'inconvnients, dus tous les effets pervers des fonctionnalits que l'on peut
ajouter un proxy. Parmi les inconvnients les plus graves :
la dure de vie du cache peut tre mal paramtre, la vrification de validit du contenu galement et le proxy
peut fournir des informations qui ne sont plus jour ;
les proxys ont souvent des fonctions de restriction d'accs qui peuvent aboutir un rgime franchement
totalitaire. (contrle parental chez AOL, par exemple, mais ce n'est pas forcment vous qui choisissez les
filtrages) ;
les fonctions de traage ne manquent pas non plus, ce qui permet d'espionner de faon trs efficace ce que
les utilisateurs de votre rseau font sur le Net.
Normalement, le navigateur Internet doit tre paramtr pour utiliser un serveur proxy (outils/Options Internet/
Connexions/Paramtres LAN dans Internet Explorer). Si l'installation est faite proprement, l'utilisateur devrait pouvoir
choisir d'utiliser le proxy ou non. Souvent cependant, l'administrateur du rseau va bloquer le passage direct sur le
port 80, obligeant les utilisateurs passer par le proxy. L encore, au moins, les utilisateurs sont avertis.
Le proxy transparent est beaucoup plus pernicieux, parce qu'il ne ncessite aucun paramtrage du navigateur et
l'utilisateur ne sait pas qu'il passe par un proxy.
Le principe est simple, il suffit de rediriger tous les paquets dont le port de destination est 80 vers le proxy transparent,
qui peut tre plac sur la passerelle elle-mme. Ceux qui disposent d'une passerelle Linux peuvent assez facilement
monter la manip en installant le proxy SQUID (configur convenablement pour faire un proxy transparent) et en
utilisant IPtables pour faire de la redirection sur le service squid local.
Si vous voulez plus de dtails sur ces pratiques qui flirtent avec le douteux, visitez le chapitre consacr HTTP.
Ce ne sont pas les seules manipulations possibles, mais ce sont celles qui paraissent les plus souvent utilises.
5-2 - Et comment a marche ?
La table NAT est organise comme ci-contre :
- 17 -
comme son nom l'indique, la chane PREROUTING va bricoler les sockets avant les dcisions de
routage. Nous nous en servirons pour faire du DNAT (destination NAT), autrement dit, pour modifier la
socket du destinataire ;
la chane POSTROUTING intervient la sortie du routeur. Elle servira faire du SNAT (Source NAT) dont par
exemple, le masquage d'adresse ;
la chane OUTPUT, quant elle, permet de modifier le socket de destination d'un paquet issu d'un processus
local. L'utilit de cette chane n'est pas vidente, dans la mesure o, normalement, les paquets sortant d'un
processus local devraient aussi passer par POSTROUTING. La seule possibilit supplmentaire est de
pouvoir rediriger les paquets qui sortent d'un processus local destination d'une cible extrieure, vers un
autre processus local (127.0.0.1).
L encore, nous pouvons l'illustrer de faon diffrente :
Les possibilits offertes par le NAT sont quasiment infinies. Nous avons vu les plus frquentes :
masquage d'adresse, pour permettre tout un rseau priv d'accder au Net lorsque l'on ne dispose que
d'une seule adresse IP valide sur le Net ;
redirection d'un service serveur adress sur la passerelle vers un serveur situ dans le rseau priv, a peut
tre utile pour les joueurs en rseau, mais aussi pour des applications plus professionnelles.
Pour que tout a fonctionne correctement, le systme s'appuie sur le suivi de connexion. Nous pouvons donc nous
attendre trouver des modules spcialiss pour certains protocoles, dont le FTP, toujours lui. Ainsi, le module
nf_nat_ftp sera ncessaire si vous voulez travailler proprement en FTP.
6 - Et le reste
Netfilter permet encore d'autres choses, qui sortent plus ou moins du cadre de cet expos (peut-tre un jour ?).
6-1 - Mangle
Nous n'avons pas parl de la table Mangle. Cette table permet d'effectuer un marquage des paquets.
- 18 -
Nous pouvions, avec les premires versions de Netfilter, marquer les paquets en PREROUTING ou en OUTPUT
pour les sorties d'un processus local (en rouge sur l'illustration). Notez que depuis la version 2.4.18 du noyau, le
systme a t tendu tous les hooks (en bleu sur l'illustration).
L'intrt de ce marquage, qui n'est visible que dans la pile de la machine, est de pouvoir tre relu par d'autres fonctions
comme IProute ou la gestion de la qualit de service (QoS).
Ainsi, nous pouvons disposer de toute la puissance de Netfilter pour la slection de divers types de paquets, et utiliser
ensuite ce marquage pour le routage ou les priorits de passage.
Donner ici des exemples prcis nous mnerait trop loin parce qu'il faudrait tudier en dtail IProute2 et les fonctions
de QoS des noyaux 2.6 et la vie est courte.
Voici tout de mme un cas de figure qui serait grable par ce systme :
Nous disposons de deux liens sur le Net :
l'un, trs rapide et trs fiable, mais trs cher et factur au volume de donnes,
l'autre, classique, comme une connexion ADSL, avec les limites que nous leur connaissons ;
Nous souhaitons exploiter au mieux ces deux connexions, par exemple de la faon suivante :
nous devons mettre jour le contenu d'un serveur distant. Il faut le faire de faon rapide et sre. Il
n'y a pas forcment beaucoup de donnes transmettre, mais il est impratif que ce soit fait le plus
rapidement et le plus srement possible,
nous devons assurer un accs au Net pour les utilisateurs du rseau local, mais avec une qualit de
service plus faible.
Avec le marquage de paquets associ IProute, nous pourrons arriver faire passer les mises jour du serveur sur
le lien rapide mais cher et tout le reste sur le lien ADSL.
nous disposons d'une connexion ADSL et il arrive trs souvent que certains utilisateurs fassent du
tlchargement FTP sur des serveurs rapides. Chaque fois qu'un tlchargement est lanc, toute la bande
passante download est utilise et les autres utilisateurs ne peuvent plus surfer dans de bonnes conditions ;
en exploitant le marquage de paquets associ aux fonctions de QoS, nous pourrons restreindre la bande
passante exploite par le download FTP afin de laisser un peu d'espace pour les autres activits ;
ceci peut aussi tre appliqu aux transferts peer-to-peer , qui ont l'inconvnient de monopoliser le peu de
bande passante upload dont on dispose sur des connexions asymtriques comme ADSL ou cble.
6-2 - Les logs

Netfilter propose un systme de log puissant. Il ne s'agit pas ici d'une table, mais d'une cible. Nous verrons plus en
dtail dans la suite ce que sont les cibles, disons pour le moment qu'il en existe deux qui sont particulires.
- 19 -
6-3 - La cible LOG

Elle permet de remonter vers le dmon syslog, avec, par dfaut, le niveau warning , des messages dcrivant
les paquets qui satisfont la rgle qui pointe vers LOG. Dans une distribution Debian, nous retrouverons donc leur
trace dans /var/log/syslog.
Juste un exemple trivial, pour voir ce que a donne :
iptables -A INPUT -i eth0 -p icmp -j LOG
Ce qui veut dire en franais :

ajouter la chane INPUT la rgle suivante : envoyer vers la cible LOG tout paquet ICMP qui entre par eth0
La machine dont l'IP de eth0 est 192.168.0.253 envoie un ping sur la machine192.168.0.251.
ping -n 1 192.168.0.251
Nous allons tracer la rponse au ping (INPUT). Nous rcuprons cette trace dans /var/log/syslog :
Dec 1 22:40:11 linux kernel:
IN=eth0
OUT= MAC=00:00:b4:bb:5d:ee:00:20:18:29:11:31:08:00
SRC=192.168.0.251
DST=192.168.0.253
LEN=84 TOS=0x00
PREC=0x00
TTL=255 ID=4938
PROTO=ICMP TYPE=0
CODE=0
ID=53771
SEQ=256
Ce qui est surlign en jaune correspond la machine qui trace, c'est--dire celle qui envoie le ping et attend la
rponse (qui est trace). Ce qui est surlign en vert correspond la cible du ping qui rpond.
Comme vous le voyez, c'est un bon moyen pour se faire de la lecture facile, propre vous aider en cas d'insomnie.
Si la commande ping est crite de la faon suivante :
ping -n 100 192.168.0.251
Nous gnrerons cent fois une trace similaire celle que nous venons de voir. Compter les moutons qui sautent la
barrire est sans doute bien moins efficace.
Pour viter que les logs n'arrivent remplir votre disque dur, il existe la directive limit qui permet, comme son
nom l'indique, de limiter l'envoi vers la cible de paquets satisfaisant la rgle. Cette directive elle seule mriterait
toute une page d'explications.
6-4 - La cible ULOG

Plutt que d'utiliser syslog, cette cible permet d'envoyer les paquets un dmon spcialis : ulogd. Ce dmon permet
d'obtenir des logs plus prsentables, voire stocks dans une base de donnes comme MySQL.
- 20 -
7 - IPtables
Encore une fois, il n'est pas question de reprendre toute la documentation d'IPtables. Nous allons simplement
examiner quelques rgles simples d'un usage courant. Pour tudier la syntaxe, consultez :
les pages man (man IPtables) ;

Rusty's Remarkably Unreliable Guides.
Les pages de man, bien que pas toujours trs agrables lire, sont essentielles, pour la simple raison que Netfilter/
IPtables sont des outils en pleine volution et que d'une version l'autre, de nouvelles fonctionnalits peuvent
apparatre.
7-1 - Manipulations diverses

Pour ce qui suit, nous allons faire de la pratique. Debian Etch monte en passerelle, tel que dcrit dans le chapitre
Partage de connexion .
Rappelons-le, il s'agit de masquer tous les clients d'un rseau priv (par exemple 192.168.0.0) derrire l'unique
adresse officielle attribue par le fournisseur d'accs, et d'assurer un minimum de scurit sur la totalit de
l'installation.
7-1-1 - Initialisation des tables

Pour commencer, nous allons tout fermer au niveau de la passerelle dans la table filter.
Nous vidons les chanes :
iptables -F
Nous supprimons d'ventuelles chanes personnelles :

iptables -X
Nous les faisons pointer par dfaut sur DROP :

iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Nous faisons de mme avec toutes les autres tables, savoir nat et mangle, mais en les faisant pointer par dfaut
sur ACCEPT. a ne pose pas de problme puisque tout est bloqu au niveau filter :
- 21 -
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
-t
-t
-t
-t
-t
-t
-t
-t
-t
-t
-t
-t
nat -F
nat -X
nat -P
nat -P
nat -P
mangle
mangle
mangle
mangle
mangle
mangle
mangle
PREROUTING ACCEPT
POSTROUTING ACCEPT
OUTPUT ACCEPT
-F
-X
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P FORWARD ACCEPT
-P POSTROUTING ACCEPT
Notez que dans tout a, on n'a pas chang grand-chose par rapport l'tat de ces tables telles qu'on le trouve aprs
un boot de la machine, sans modification particulire des scripts de dmarrage, hormis la cible par dfaut des rgles
de la table filter que l'on a pass DROP. Tout de mme, cette manipulation prliminaire a eu pour consquences :
que l'on est parfaitement sr de l'tat de Netfilter ;

que l'on a commenc se familiariser un peu avec le langage IPtables.
7-1-1-1 - O en sommes-nous ?
Normalement, plus rien ne doit passer nulle part. Essayez des pings dans tous les sens, entre la passerelle et votre
rseau priv ou vers le Net, entre un poste de votre rseau priv et la passerelle, rien ne devrait passer.
7-1-2 - Ouvrons quelques portes

Nous considrons que la machine elle-mme est sre et que les processus locaux peuvent communiquer entre eux
via l'interface locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Nous considrons que notre rseau local est galement sr (ce qui n'est pas forcment vrai, d'ailleurs).
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
ce stade, nous avons la situation suivante :
si, sur votre passerelle, vous faites ping 127.0.0.1, a rpond ;

si, sur votre passerelle, vous faites un ping sur un hte du rseau priv, a rpond ;
si, sur un hte du rseau priv, vous faites un ping sur la passerelle, a rpond aussi.
Mais
Si, depuis la passerelle, on fait des pings n'importent o sur le Net, a ne rpondra pas, cause du DROP
sur OUTPUT par dfaut ;
Si, depuis n'importe o sur le Net, on fait des pings sur votre passerelle, a ne rpondra pas non plus,
cause du DROP sur INPUT par dfaut ;
si, depuis un hte de votre rseau, on fait un ping n'importe o sur le Net, a ne rpondra encore pas, pour
deux raisons :
nous n'avons pas plac de rgle de NAT entre le rseau local et le Net,
FORWARD fait DROP sur tout ce qui passe.
- 22 -
7-1-3 - Faisons maintenant du NAT

Translation d'adresses pour tout ce qui traverse la passerelle en sortant par ppp0 :
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Nous pourrions ici restreindre le NAT une plage d'IPs du rseau local :
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
Ou mme une liste d'IP bien dfinies :

iptables -t nat -A POSTROUTING -s 192.168.0.10 -o ppp0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
Ceci peut tre utile, surtout en sachant que vous pouvez dtruire une rgle et une seule :
iptables -t nat -D POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
Ainsi, si vous avez, par exemple, des enfants qui usent de votre connexion permanente de faon un peu trop
permanente, vous pourrez aisment, avec l'aide du dmon cron n'accorder l'accs au Net que pour certaines plages
horaires.
Mais a ne suffit pas encore pour fonctionner, les pings depuis le rseau local vers le Net ne passent toujours pas.
Normal, FORWARD fait toujours DROP sur tout ce qui passe. Nous devons accorder des autorisations de passage
sur FORWARD.
7-1-4 - Utilisation de conntrack
Le suivi de connexion est intressant, bien qu'il consomme un peu plus de ressources sur votre passerelle. Nous
l'avons vu, son avantage est qu'il permet d'obtenir des informations sur toute connexion en cours. Ces informations
sont principalement :
NEW
Une nouvelle connexion est tablie ;
ESTABLISHED
La connexion analyse a dj t tablie ;
RELATED
La connexion est en relation avec une autre connexion dj tablie (par exemple, dans le FTP actif) ;
INVALID
- 23 -
Le paquet n'appartient aucune des trois catgories prcdentes. Il est possible, par exemple, de n'accepter
dans les deux sens (vers et depuis l'Internet) que les connexons dj tablies ou en relation avec des
connexions dj tablies et de n'accepter des nouvelles connexions que depuis notre installation vers
l'Internet. De cette manire, notre rseau local pourra se connecter sur tout serveur Internet, mais aucune
nouvelle connexion ne pourra tre cre depuis le Net vers notre installation.
En franais, nous allons faire :
toutes les connexions : nouvelles, tablies et associes une connexion tablie qui entrent par eth0
(rseau local) et veulent sortir par ppp0 (le Net), peuvent passer ;
toutes les connexions : tablies et associes une connexion tablie qui entrent par ppp0 et veulent aller
vers eth0 pourront galement passer.
En langage IPtables : toutes les connexions qui sortent du LAN vers le Net sont acceptes :
iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Nous aurions aussi bien pu crire :

iptables -A FORWARD -i eth0 -o ppp0 -m state --state ! INVALID -j ACCEPT
Seules les connexions dj tablies ou en relation avec des connexions tablies sont acceptes venant du Net vers
le LAN :
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
ping ul.grenouille.com (par exemple) se met fonctionner.
7-1-4-1 - Le chapeau magique

Maintenant que nous avons mis conntrack en uvre, nous aimerions bien voir un peu comment il opre Il se trouve
qu'il est possible d'observer la table de suivi de connexions qui se prsente sous la forme d'un fichier virtuel en /
proc/net/ip_conntrack.
Pour interprter plus facilement ce qu'il suit, il faut savoir plusieurs choses :
un client du LAN dispose de l'IP 192.168.0.10 ;

la passerelle dispose de l'IP 192.168.0.253 sur le LAN ;
la passerelle dispose de l'IP 80.8.130.97 sur le Net ;
le client navigue sur le serveur HTTP d'IP 213.186.35.33.
tcp 6 14 CLOSE_WAIT
src=192.168.0.10 dst=213.186.35.33 sport=1102 dport=80
src=213.186.35.33 dst=80.8.130.97 sport=80 dport=1102 [ASSURED] use=1
tcp 6 431991 ESTABLISHED
tcp 6 73 TIME_WAIT
tcp 6 82 SYN_SENT
src=192.168.0.10 dst=213.186.35.33 sport=1105 dport=80 [UNREPLIED]
src=213.186.35.33 dst=80.8.130.97 sport=80 dport=1105 use=1
tcp 6 51 CLOSE_WAIT
- 24 -
Le troisime champ est un timer , l'entre est efface de la table lorsque le timer tombe zro. Bien entendu,
cette table est en mmoire, ce n'est pas un vrai fichier, son contenu volue donc perptuellement au cours du temps.
Vous ne pourrez pas visualiser efficacement son contenu avec l'outil tail ;
cette table prend de la place en mmoire, d'autant plus que le nombre de clients sur le LAN est important
et leur activit grande. Sur un petit rseau domestique, ce sera rarement un problme, mais sur un rseau
d'entreprises, il faudra rester attentif la mmoire disponible.
7-1-4-2 - O en somme nous ?
Depuis le rseau local, nous accdons la passerelle ;

Depuis le rseau local, nous accdons au Net ;
Depuis la passerelle, nous accdons au rseau local ;
Depuis la passerelle, nous n'accdons pas au Net ;
Depuis le Net, nous n'accdons pas la passerelle (nous avons toujours un DROP en INPUT sur ppp0) ;
Depuis le net, nous ne pouvons accder aux htes du rseau local que sur des connexions qu'ils ont tablies
et dont ils sont clients. Autrement dit, aucun serveur, ventuellement plac sur le rseau local ne sera
accessible depuis le Net.
7-1-5 - Amlioration possibles

7-1-5-1 - Un DNS local
Si vous installez sur votre passerelle un serveur DNS, il faudra qu'il puisse envoyer ses requtes sur le Net, ce qui
n'est actuellement pas possible. Il faut ouvrir une voie en UDP conforme aux besoins d'une requte DNS :
votre serveur envoie une requte UDP destination du port 53 d'un serveur DNS ;
il attend une rponse sur un port suprieur ou gal 1025, venant d'un port 53.
En langage IPtables :
autorisation des requtes DNS locales :
iptables -A OUTPUT -o ppp0 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j
ACCEPT
Voil des syntaxes qui commencent tre sympathiques

Lorsque l'on veut dfinir, non pas un port mais une plage de ports, les critures suivantes sont autorises :
-dport 1024:1999 autorisera la plage de ports [1024,1999] en destination (a marche aussi avec -sport) ;
-dport 1024: veut dire que tous les ports suprieurs o gaux 1024 seront accepts en destination.
7-1-5-2 - Un SMTP local

Vous pouvez dsirer implanter un SMTP sur votre passerelle, pour envoyer votre courrier depuis le LAN sans vous
proccuper des disponibilits ou des lenteurs du SMTP de votre FAI. Voir le chapitre SMTP ce sujet.
Deux options sont possibles :
- 25 -
votre SMTP enverra vos courriers directement aux destinataires ;

votre SMTP enverra tous vos courriers au SMTP de votre FAI qui effectuera lui-mmes les livraisons.
La premire option est la plus rapide. Malheureusement, cause de nombreux dbordements, la tendance actuelle
consiste refuser les messages provenant de serveurs SMTP non officiels, ce fut un temps par exemple le cas entre
Wanadoo et AOL. AOL refusait tout message en provenance de wanadoo.fr autre que ceux qui lui arrivent des SMTP
officiels de wanadoo. Comme il est clair que cette tendance n'ira qu'en s'accentuant, il demeure plus sage d'utiliser
la seconde mthode. Vous serez tributaire du bon fonctionnement du SMTP de votre FAI, mais a ne se verra pas
au niveau de vos clients du LAN. Ce sera votre SMTP local qui assurera les ventuelles attentes.
Sachant qu'un serveur SMTP coute sur le port 25 et utilise TCP :
autorisation des envois SMTP locaux
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024: --dport 25 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 25 --dport 1024: -m state --state RELATED,ESTABLISHED -j
ACCEPT
Et vous pouvez mme restreindre encore d'avantage, si vous avez adopt la seconde stratgie d'envoi :
autorisation des envois SMTP locaux vers le SMTP du FAI :
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024: -d smtp.wanadoo.fr --dport 25 -m state --state !
INVALID -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp -s smtp.wanadoo.fr --sport 25 --dport 1024: -m state --state
RELATED,ESTABLISHED -j ACCEPT
Si si, a fonctionne, condition bien entendu que votre passerelle soit en mesure de rsoudre les noms au moment
o vous crivez la rgle. Attention donc, si vous faites tout a lors de l'initialisation de la machine, il faudra que :
les services rseaux soient monts ;

la connexion PPPoE tablie ;
le service DNS dmarr.
Vous pouvez, plus simplement, indiquer non pas le nom du serveur mais son IP.
7-1-5-3 - Un accs SSH depuis le Net

Vous pouvez souhaiter pouvoir accder votre passerelle depuis le Net, pour peu que vous ayez un moyen de
connatre tout moment son adresse IP. Sachant que SSH utilise TCP sur le port 22 :
iptables -A INPUT -p tcp --dport ssh -i ppp0 -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o ppp0 -j ACCEPT
Nous pouvons effectivement dfinir un port par le service qui lui est normalement associ (ici SSH).
Si vous devez accder votre passerelle depuis une IP fixe sur le Net, vous pouvez largement restreindre cette rgle
en n'acceptant les connexions SSH que depuis et vers cette IP.
7-1-5-4 - ICMP, c'est parfois utile

Le protocole ICMP, mme s'il prsente quelques dangers, rend tout de mme quelques services apprciables, dans
le cas d'erreurs de transmission et aussi dans la dcouverte du MTU. Pour plus de dtails, voyez le chapitre TCP/
IP(v4) .
- 26 -
Il se trouve que, pour les messages d'erreur ICMP, l'en-tte du paquet qui a gnr l'erreur est reproduite dans le
message. Le suivi de connexion ICMP s'en sert pour dclarer ce paquet RELATED.
En ce qui concerne les clients du LAN, avec les rgles que nous avons crites, il ne devrait pas y avoir de problmes,
puis qu'on laisse passer tout paquet RELATED sans distinction de protocole.
En revanche, pour la passerelle elle-mme, si l'on a activ SMTP et DNS, il peut s'avrer intressant d'ajouter la ligne :
iptables -A INPUT -p icmp
-m state --state RELATED -j ACCEPT
De cette manire, une erreur ICMP passera, mais votre passerelle ne rpondra pas aux pings, ni aucune autre
interrogation ICMP.
7-2 - Encore une dernire recette

Vous pouvez faire quelque chose de trs simple, mais qui reste tout de mme moins sr. Nous sommes dans la
table Filter (table par dfaut).
Vidage des chanes :
iptables -F
Destruction des ventuelles chanes personnelles :

iptables -X
Changement de stratgie par dfaut : nous n'acceptons plus rien :
ni en entre ;
ni en traverse de la passerelle.
Mais nous acceptons tout ce qui sort (localement) de la passerelle :

iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
Initialisation des tables NAT et MANGLE :

iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
iptables
-t
-t
-t
-t
-t
-t
-t
-t
-t
nat -F
nat -X
nat -P
nat -P
nat -P
mangle
mangle
mangle
mangle
PREROUTING ACCEPT
POSTROUTING ACCEPT
OUTPUT ACCEPT
-F
-X
-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
Mise en place du NAT :

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
Maintenant, nous allons crer une chane particulire, que nous allons appeler SuiviConnexions et qui va grer ce
suivi :
iptables -N SuiviConnexions
- 27 -
Filtrage de suivi dans cette chane : seules les nouvelles connexions qui ne viennent pas du Net sont acceptes :
iptables -A SuiviConnexions -m state --state NEW -i ! ppp0 -j ACCEPT
Ceci veut dire plus clairement que toutes les connexions qui n'entrent pas par ppp0 c'est--dire dans notre cas, qui
entrent par eth0, mais aussi par l'interface locale (lo).
Toutes les connexions tablies et relatives sont acceptes :
iptables -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT
Cette chane va maintenant servir de cible commune pour les deux chanes standard INPUT et FORWARD, les deux
chanes INPUT et FORWARD vont pointer sur SuiviConnexions :
iptables -A INPUT -j SuiviConnexions
iptables -A FORWARD -j SuiviConnexions
Et le tour est jou, puisque OUTPUT accepte tout. Il faut faire confiance au bon fonctionnement de conntrack et ne
pas trop se poser de questions sur les coups tordus qui peuvent arriver passer quand mme l-dedans, mais au
premier coup d'il, votre machine paratra invisible sur le Net.
Enfin, pour SSH :
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
7-3 - Le FTP actif

Trs souvent, les clients du LAN derrire un routeur NAT ne peuvent accder des serveurs FTP sur le Net qu'en
mode passif. Sans prcaution particulire, ce sera galement le cas ici.
Cependant, Netfilter permet de s'affranchir de cette limitation, en exploitant les modules spcialiss, nf_nat_ftp et
nf_conntrack_ftp. Ceci nous amne dire quelques mots du chargement de ces modules, propos desquels nous
ne nous sommes pas beaucoup pos de questions.
Netfilter est capable de charger dynamiquement la plupart des modules qui lui sont ncessaires, en fonction des
rgles crites. Faites un lsmod et voyez les modules impliqus dans Netfilter (ils sont tous dans /lib/modules/<version
du kernel utilis>/kernel/net/ipv4/netfilter et dans /lib/modules/<version du kernel utilis>/kernel/net/netfilter).
Cependant, les modules ncessaires au FTP actif ne se chargent pas automatiquement. Vous pourrez les monter
avec modprobe pour faire les tests. Si vous voulez les rendre automatiquement disponibles chaque dmarrage,
rfrencez-les par exemple dans le fichier /etc/modules.
7-4 - Pour conserver tout ce beau travail

C'est le moment d'utiliser un outil fourni avec IPtables : le script IPtables-save. Ce script envoie sur le flux de sortie
par dfaut, normalement l'cran, le contenu des chanes de toutes les tables, dans un format relativement lisible
pour l'tre humain :
# iptables-save
# Generated by iptables-save v1.2.6a on Mon Dec
*mangle
:PREROUTING ACCEPT [4110:906437]
:INPUT ACCEPT [113562:22595477]
:FORWARD ACCEPT [2160:709057]
:OUTPUT ACCEPT [2308:208513]
2 18:22:31 2002
- 28 -
:POSTROUTING ACCEPT [68746:14733820]

COMMIT
# Completed on Mon Dec 2 18:22:31 2002
# Generated by iptables-save v1.2.6a on Mon
*filter
:INPUT DROP [392:38736]
:FORWARD DROP [20:944]
:OUTPUT DROP [616:25100]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -m state --state
-A FORWARD -i ppp0 -o eth0 -m state --state
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
COMMIT
# Generated by iptables-save v1.2.6a on Mon
*nat
:PREROUTING ACCEPT [781:63004]
:POSTROUTING ACCEPT [331:18116]
:OUTPUT ACCEPT [1028:49802]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
Dec
2 18:22:31 2002
NEW,RELATED,ESTABLISHED -j ACCEPT
RELATED,ESTABLISHED -j ACCEPT
Dec
2 18:22:31 2002
Nous retrouvons bien l-dedans tout ce que nous avons dfini plus haut. Mais cette commande a un autre avantage.
En dirigeant sa sortie vers un fichier, vous obtenez un fichier de configuration qui sera exploitable par un autre script :
IPtables-restore.
En d'autres termes, si vous faites :
iptables-save
> /root/maconfig.iptables
Vous pourrez refaire ensuite :

iptables-restore < /root/maconfig.iptables
Pour restaurer intgralement votre configuration.

Sur Debian, il est possible d'invoquer des commandes lors de l'activation et de la dsactivation d'une interface rseau,
dans le fichier /etc/network/interfaces. Voyez le chapitre Partage de connexion et plus particulirement la page
Passerelle simple pour plus de dtails.
7-5 - Conclusions
Beaucoup de choses n'ont pas t dites, Netfilter ncessiterait un livre entier. Parmi ce dont nous n'avons pas parl
et qui peut s'avrer utile, mme pour un rseau domestique :
comment placer, par exemple, un serveur HTTP sur le LAN et s'arranger pour qu'il soit visible depuis le Net ?
C'est possible en utilisant du NAT de destination (PREROUTING). Je vous laisse chercher ;
nous n'avons que survol l'utilisation de la cible LOG, pour tracer des paquets indsirables, ou simplement
pour dverminer des rgles qui ne fonctionnent pas comme on le souhaiterait. La cible LOG est un peu
spciale, dans la mesure o elle n'affecte pas la destination du paquet trac. Ainsi, vous devrez crire des
rgles pour les logs en plus de votre filtrage et de votre NAT ;
l'utilisation de la table mangle conjointement avec le QoS pour exploiter au mieux votre bande passante.
Je ne suis pas un expert en scurit. Ne comptez pas sur moi pour vous donner toutes les ficelles de scurisation
de votre installation. D'ailleurs, rien n'est dfinitif dans ce domaine.
- 29 -
7-6 - D'autres sources d'informations

Reprenons quelques liens qui vous en apprendront davantage :
Rusty's Remarkably Unreliable Guides

Vous y trouverez plusieurs documents, dont certains en franais, sur le filtrage, le NAT et mme l'architecture
interne de Netfilter, sous forme de HOWTO ;
Le site officiel de Netfilter
vous y trouverez absolument toutes les docs possibles, la plupart du temps en anglais, mais un bon nombre
de HOWTOS sont disponibles en plusieurs langues, dont le franais ;
Le Guide d'installation et de configuration de Linux propose un chapitre sur l'utilisation de Netfilter ;
Un script
qui peut tre un bon exercice d'apprentissage du langage IPtables
IPTables par l'exemple
Cet article prsente de faon pratique la mise en place d'un firewall avec IPTables (en franais).
Et probablement beaucoup d'autres que je ne connais mme pas.
8 - Remerciements Developpez
Vous pouvez retrouver l'article original ici : L'Internet Rapide et Permanent. Christian Caleca a aimablement autoris
l'quipe Rseaux de Developpez.com reprendre son article. Retrouvez tous les articles de Christian Caleca
sur cette page.
Nos remerciements zoom61 pour sa relecture orthographique.
N'hsitez pas commenter cet article !
- 30 -

Caleca 11 NetFilter IPtables

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Caleca 11 NetFilter IPtables

Hochgeladen von

Copyright:

Verfügbare Formate

L'internet Rapide et Permanent

L'internet Rapide et Permanent par Christian Caleca

L'internet Rapide et Permanent par Christian Caleca

7-4 - Pour conserver tout ce beau travail............................................................................................................28

L'internet Rapide et Permanent par Christian Caleca

Rusty's Remarkably Unreliable Guides

2-1-2 - Avertissement aux utilisateurs exclusifs des interfaces graphiques

L'internet Rapide et Permanent par Christian Caleca

2-2 - Position du problme

2-2-1 - Topologie de la machine Linux

Eth0 sur le rseau local (priv) ;

L'internet Rapide et Permanent par Christian Caleca

2-2-2 - Netfilter dans la pile IP

L'internet Rapide et Permanent par Christian Caleca

2-2-3 - Ce que sait faire Netfilter

2-2-4 - Comment Netfilter sait le faire

2-3 - Les tables et leurs chanes

2-3-1 - La table Filter

L'internet Rapide et Permanent par Christian Caleca

2-3-2 - La table NAT

2-3-3 - La table MANGLE

2-3-4 - Les chanes

2-3-5 - Les cibles

Nous verrons cela plus en dtail dans les divers exemples.

L'internet Rapide et Permanent par Christian Caleca

2-4 - La commande IPtables

3-1-1 - Exprience prliminaire

L'tablissement d'une connexion TCP suit un protocole strict :

une requte de synchronisation [SYN] de la part de l'initiateur du dialogue (le client) ;

Observons galement les sockets.

L'internet Rapide et Permanent par Christian Caleca

Push: Not set

Frame 11 (62 bytes on wire, 62 bytes captured)

Mais voyons un peu plus loin

http > 4253 [SYN, ACK]

L'internet Rapide et Permanent par Christian Caleca

3-1-2 - Premires dductions

3-2 - Et pour UDP ?

3-3 - Dans la pratique

L'internet Rapide et Permanent par Christian Caleca

4 - Filter, la table de filtrage

Si le paquet est destin l'hte local :

il traverse la chane INPUT,

ce nouveau paquet traverse la chane OUTPUT,

s'il n'est pas rejet, il va vers la sortie ;

il traverse la chane FORWARD,

s'il n'est pas rejet, il poursuit alors sa route.

Une autre faon de reprsenter graphiquement tout a serait la suivante :

L'internet Rapide et Permanent par Christian Caleca

la chane INPUT sera raccroche au hook NF_IP_LOCAL_IN ;

4-1 - Rappel d'avertissement important

4-1-1 - Vous ne me croyez pas ?

4-2 - Initialisation de Netfilter

Tapez successivement les commandes suivantes pour initialiser votre systme :

L'internet Rapide et Permanent par Christian Caleca

4-3 - Mise en place de Masquerade

4-3-1 - Et maintenant, la manip dcisive

5 - La table de translation d'adresses

L'internet Rapide et Permanent par Christian Caleca

5-1-1 - Mais qu'est-ce que c'est exactement ?

5-1-2 - Mais quoi a sert ?

5-1-2-1 - Le masquage d'adresse

5-1-2-2 - Le NAT de destination

L'internet Rapide et Permanent par Christian Caleca