Lien entre les règles iptables et la Matrice de flux
Les flux montants sont des ponts et ne proposent que des règles de type ACCEPT. Les flux descendants sont des barrages et ne proposent que des règles de type DENY (DROP).
Rappels iptables
- PREROUTING
- filtrage sur les paquets entrants
- POSTROUTING
- filtrage sur les paquets sortants
- FILTER
- filtrage input-forward
Tables principales
- PREROUTING : filtrage sur les paquets entrants (avant toute décision de routage)
- POSTROUTING : filtrage sur les paquets sortants (après les décisions de routage)
Règles Standard
Les règles standard sont définies à partir de la table filter
d'iptables.
- règle standard
- règle de type input ou forward
- règle input
- règle à destination du pare-feu
- règle forward
- règle traversant le pare-feu
La translation d'adresses
Le NAT se divise en deux types différents : le NAT Source (SNAT) et le NAT Destination (DNAT).
SNAT (Nat source)
On altère l'adresse source du premier paquet
Par exemple, changer l'endroit dont la connection provient. Le NAT Source est toujours réalisé après le routage, juste avant que le paquet ne sorte sur la ligne. Le Masquerading est une forme spécialisée de SNAT.
DNAT (Nat destination)
On altère l'adresse de destination du premier paquet.
Par exemple, changer l'endroit où la connection va aboutir. Le NAT Destination est toujours effectué avant le routage, quand un paquet arrive en premier sur la ligne. Le Port forwarding, load-sharing et le proxy transparent sont tous des formes de DNAT.