NetFilter : quelques “régles”

Posted on by

Les deux premières leçons à retenir en ce qui concerne NetFilter :

  • Il faut toujours initialiser les cibles par défaut, même pour les chaînes des tables que nous ne pensons peut-être pas utiliser. Il faut en toute situation connaître l’état de de ces cibles. Un script Netfilter devrait donc toujours commencer par :
     # Initialisation de la table FILTER

       iptables -t filter -F

       iptables -t filter -X

       iptables -t filter -P INPUT   DROP

       iptables -t filter -P OUTPUT  DROP

       iptables -t filter -P FORWARD DROP
     # Initialisation de la table NAT

       iptables -t nat -F

       iptables -t nat -X 

       iptables -t nat -P PREROUTING  ACCEPT

       iptables -t nat -P POSTROUTING ACCEPT

       iptables -t nat -P OUTPUT      ACCEPT
     # Initialisation de la table MANGLE

       iptables -t mangle -F

       iptables -t mangle -X 

       iptables -t mangle -P PREROUTING  ACCEPT

       iptables -t mangle -P INPUT       ACCEPT

       iptables -t mangle -P OUTPUT      ACCEPT

       iptables -t mangle -P FORWARD     ACCEPT

       iptables -t mangle -P POSTROUTING ACCEPT
  • En cas de doute, utiliser la commande “iptables -L -v -t table” permettant d’obtenir bon nombre d’informations sur le nombre de paquets pour lesquels s’applique une règle ou un comportement par défaut.

Leave a Reply