Se connecter
Se connecter
Inscription
Mot de passe perdu
Connexion:
[Actualités]
Le lancement de la Nintendo Switch 2 serait prévu pour mars 2025
[Actualités]
Enfin Google Agenda et Tasks ne font plus qu'un : ce qui change sur Android
[Actualités]
Google Gemini est de plus en plus puissant et avec Android 16, il deviendra l'as...
[Actualités]
Les nouveaux symboles WhatsApp : ce qu'ils signifient et qui les recevra
[Actualités]
Fini Alt+Tab : Microsoft propose la superposition de navigateur Edge pour les jo...
[Actualités]
Test I*CHU: Chibi Edition (Nintendo Switch) - Devenez une légende de la product...
[Actualités]
Changer de téléphone sera beaucoup plus simple avec cette innovation Android
[Actualités]
Selon Bloomberg, Sony travaille sur une PlayStation 5 portable
[Actualités]
Nvidia prévient d'une pénurie de GPU ce trimestre, avec une reprise début 2025
[Actualités]
Les Technos #469 : Un jour sans fin
[Articles]
Dungeons 4 - Nintendo Switch Edition
[Articles]
The Bridge Curse 2 : The Extrication
[Articles]
Farmagia
[Articles]
I*CHU: Chibi Edition
[Articles]
Farming Simulator 25
[Articles]
Goblin Slayer -Another Adventurer- Nightmare Feast
[Articles]
Deel lance des programmes en marque blanche et pour les revendeurs pour plus de ...
[Articles]
ESET Research : WolfsBane, nouvelle porte dérobée de cyber-espionnage Linux cr...
[Articles]
Devoteam présente son nouveau plan stratégique « AMPLIFY » avec un fort acce...
[Articles]
LEGO Horizon Adventures
Actualités
Lettre d'information
Proposer une actualité
Archives
Actualités
Articles
Programmation
Press Release
Matériel
Logiciels
Livres
Interviews
Derniers commentaires
Jeux Vidéos
XBox One
XBox 360
Wii U
PSP
PS4
PS3
PC
DS
GameCube
3DS
Forum
Derniers messages
Informatique
Fun
Divers
Logithèque
Blogs
Divers
A Propos
Annonceurs
Contact
Recherche
RSS
Editer un article
Titre
Mots Clés
Texte
[size=18] [b]Nom[/b] [/size] ip6tables - outil d'administration pour le filtrage de paquets IPv6 [size=18] [b]RÉsumÉ[/b] [/size] [b]ip6tables [-t table] -[AD] chaîne règle [options][/b] [b][/b] [b]ip6tables [-t table] -I chaîne [numéro-de-règle] règle [options][/b] [b][/b] [b]ip6tables [-t table] -R chaîne numéro-de-règle règle [options][/b] [b][/b] [b]ip6tables [-t table] -D chaîne numéro-de-règle [options][/b] [b][/b] [b]ip6tables [-t table] -[LFZ] [chaîne] [options][/b] [b][/b] [b]ip6tables [-t table] -N chaîne[/b] [b][/b] [b]ip6tables [-t table] -X [chaîne][/b] [b][/b] [b]ip6tables [-t table] -P chaîne cible [options][/b] [b][/b] [b]ip6tables [-t table] -E ancien-nom-de-chaîne nouveau-nom-de-chaîne[/b] [size=18] [b]Description[/b] [/size] [b]ip6tables[/b] est utilisé pour mettre en place, maintenir et inspecter les tables des règles de filtrage des paquets IPv6 du noyau Linux. Différentes tables peuvent être définies. Chaque table contient plusieurs chaînes prédéfinies et peut aussi contenir des chaînes définies par l'utilisateur. Chaque chaîne est une liste de règles que peuvent vérifier un ensemble de paquets ; dans ce cas, on dit qu'on cherche à établir une correspondance avec la règle. Chaque règle détermine ce qui doit être fait avec un paquet qui correspond. Cette action est appellée une «cible», qui peut être un saut vers une chaîne définie par l'utilisateur dans la même table. [size=18] [b]Cibles[/b] [/size] Une règle de pare-feu spécifie des critères de correspondance pour un paquet, et une cible. Si le paquet ne correspond pas, la règle suivante de la chaîne est examinée ; s'il correspond, la règle suivante est déterminée par la valeur de la cible, qui peut être le nom d'une chaîne définie par l'utilisateur ou l'une des valeurs spéciales suivantes : [b]ACCEPT ,[/b] [b]DROP ,[/b] [b]QUEUE[/b] ou [b]RETURN .[/b] [i]ACCEPT[/i] signifie que le paquet est autorisé à passer. [i]DROP[/i] signifie que le paquet est détruit. [i]QUEUE[/i] signifie que le paquet est transmis à l'espace utilisateur (si cette option est reconnue par le noyau). [i]RETURN[/i] signifie que l'on cesse de parcourir cette chaîne pour retourner dans la chaîne précédente (appelante) en passant à la règle suivante. Si on atteint la fin d'une chaîne prédéfinie ou s'il y a correspondance avec une règle dans une chaîne prédéfinie ayant pour cible [b]RETURN ,[/b] la cible désignée par le comportement par défaut de la chaîne détermine le sort du paquet. [size=18] [b]Tables[/b] [/size] Il y a actuellement deux tables indépendantes (le moment où sont présentes les tables dépend des options de configuration du noyau et des modules chargés), puisque la tables nat n'est pas encore implémentée. [b][i]-t, --table table[/i][/b] [table][row][col] [/col][col]Cette option désigne la table de correspondance des paquets sur laquelle la commande doit opérer. Si le noyau est configuré avec le chargement automatique des modules, une tentative sera faite pour charger le module approprié pour cette table, si ce n'est pas déjà fait. Les tables sont les suivantes :[table][row][col] [/col][col][/col][/row][/table] [b]filter :[/b] [table][row][col] [/col][col]C'est la table par défaut (si l'option -t est omise). Elle contient les chaînes prédéfinies [b]INPUT[/b] (pour les paquets entrants dans la machine), [b]FORWARD[/b] (pour les paquets routés à travers la machine) et [b]OUTPUT[/b] (pour les paquets générés localement).[/col][/row][/table] [b]mangle :[/b] [table][row][col] [/col][col]Cette table est employée pour effectuer une modification spéciale des paquets. Jusqu'au noyau 2.4.17, elle offrait deux chaînes prédéfinies : [b]PREROUTING[/b] (pour modifier les paquets entrants, avant le routage) et [b]OUTPUT[/b] (pour modifier les paquets générés localement, avant le routage). Depuis le noyau 2.4.18, trois autres chaînes prédéfinies sont aussi prises en charge : [b]INPUT[/b] (pour les paquets entrants, destinés à la machine elle-même), [b]FORWARD[/b] (pour modifier les paquets routés à travers la machine) et [b]POSTROUTING[/b] (pour modifier les paquets lorsqu'ils sont sur le point de sortir).[/col][/row][/table][/col][/row][/table] [size=18] [b]Options[/b] [/size] Les options reconnues par [b]ip6tables[/b] peuvent être réparties en plusieurs groupes. [b]Commandes[/b] Ces options précisent une action particulière à accomplir. Une seule option peut être indiquée sur la ligne de commande, sauf indication contraire. Pour tous les noms en version longue des commandes et des options, vous avez le droit d'utiliser un nombre restreint de lettres du moment qu' [b]ip6tables[/b] peut identifier chaque commande sans ambiguïté. [b][i]-A, --append chaîne règle[/i][/b] [table][row][col] [/col][col]Ajoute une ou plusieurs règles à la fin de la chaîne sélectionnée. Lorsque les noms source et/ou destination désignent plus d'une adresse, une règle sera ajoutée pour chaque combinaison d'adresses possible.[/col][/row][/table] [b][i]-D, --delete chaîne règle[/i][/b] [table][row][col] [/col][col].ns[/col][/row][/table] [b][i]-D, --delete chaîne numéro-de-règle[/i][/b] [table][row][col] [/col][col]Efface une ou plusieurs règles de la chaîne sélectionnée. Il y a deux versions de cette commande : on peut désigner la règle par sa position dans la chaîne avec un numéro (commençant à 1 pour la première règle) ou bien par une règle de correspondance avec sa syntaxe exacte.[/col][/row][/table] [b]-I, --insert[/b] [table][row][col] [/col][col]Insère une ou plusieurs règles dans la chaîne sélectionnée à la position donnée par le numéro de règle. Si ce numéro est 1, la ou les règles sont insérées au début de la chaîne. C'est le comportement par défaut si aucun numéro n'est spécifié.[/col][/row][/table] [b][i]-R, --replace chaîne numéro-de-règle règle[/i][/b] [table][row][col] [/col][col]Remplace une règle dans la chaîne sélectionnée. Si les noms source et/ou destination désignent de multiples adresses, la commande échouera. Les règles sont numérotées en partant de 1.[/col][/row][/table] [b]-L, --list [[i]chaîne[/i]][/b] [table][row][col] [/col][col]Liste toutes les règles de la chaîne sélectionnée. Si aucune chaîne n'est sélectionnée, toutes les chaînes sont listées. Comme toute commande, elle s'applique à la table spécifiée ([b]filter[/b] par défaut), ainsi les règles de mangle sont listées avec .nf ip6tables -t mangle -n -L .fi Notez qu'on l'utilise souvent avec l'option [b]-n[/b], pour éviter de longues résolutions DNS inverses. Il est autorisé de spécifier simultanément l'option [b]-Z[/b] (zéro), auquel cas la ou les chaînes seront automatiquement listées et les compteurs remis à zéro. La sortie exacte dépend des autres arguments fournis. Les règles complètes sont omises sauf si vous exécutez .nf ip6tables -L -v .fi[/col][/row][/table] [b]-F, --flush [[i]chaîne[/i]][/b] [table][row][col] [/col][col]Vide la chaîne sélectionnée (ou toutes les chaînes de la table si aucune n'est précisée). Ceci équivaut à effacer toutes les règles une par une.[/col][/row][/table] [b]-Z, --zero [[i]chaîne[/i]][/b] [table][row][col] [/col][col]Met à zéro le compteur de paquets et d'octets dans toutes les chaînes. Il est autorisé d'associer l'option [b]-L, --list[/b] (liste), pour visualiser les compteurs juste avant qu'ils ne soient initialisés (voir ci-dessus).[/col][/row][/table] [b][i]-N, --new-chain chaîne[/i][/b] [table][row][col] [/col][col]Crée une nouvelle chaîne définie par l'utilisateur avec le nom indiqué. Il ne doit pas déjà exister de cible de même nom.[/col][/row][/table] [b]-X, --delete-chain [[i]chaîne[/i]][/b] [table][row][col] [/col][col]Efface la chaîne désignée définie par l'utilisateur. Il ne doit plus exister de référence à cette chaîne. S'il en reste, vous devez effacer ou remplacer les règles concernées avant de pouvoir effacer cette chaîne. Si aucun argument n'est fourni, une tentative aura lieu pour effacer dans la table toutes les chaînes non prédéfinies.[/col][/row][/table] [b][i]-P, --policy chaîne cible[/i][/b] [table][row][col] [/col][col]Configure le comportement par défaut (la stratégie) de la chaîne avec la cible fournie. Voir la section [b]CIBLES[/b] pour connaître les cibles autorisées. Seules les chaînes prédéfinies (donc non définies par l'utilisateur) peuvent avoir un comportement par défaut, et ni les chaînes prédéfinies ni les chaînes définies par l'utilisateur ne peuvent être des cibles stratégiques.[/col][/row][/table] [b][i]-E, --rename-chain ancien-nom-de-chaîne nouveau-nom-de-chaîne[/i][/b] [table][row][col] [/col][col]Renomme la chaîne définie par l'utilisateur spécifiée avec le nom fourni. C'est un changement cosmétique qui n'a aucun effet sur la structure de la table.[/col][/row][/table] [b]-h[/b] [table][row][col] [/col][col]Aide. Donne une description (pour l'instant succincte) de la syntaxe d'une commande.[/col][/row][/table] [b]ParamÈtres[/b] Les paramètres suivants composent une spécification de règle (quand ils sont utilisés dans les commandes [b]add[/b], [b]delete[/b], [b]insert[/b], [b]replace[/b] et [b]append[/b]). [b]-p, --protocol [!] [i]protocole[/i][/b] [table][row][col] [/col][col]Protocole de la règle ou du paquet à vérifier. Le protocole spécifié est l'un des suivants : [b]tcp ,[/b] [b]udp ,[/b] [b]ipv6-icmp|icmpv6 ,[/b] ou [b]all ,[/b] ou bien sous forme d'une valeur numérique, représentant un de ces protocoles ou un protocole différent. Un nom de protocole issu du fichier /etc/protocols est aussi autorisé. Un «!» avant le protocole inverse le test. La valeur zéro est équivalente à [b]all .[/b] Le protocole [i]all[/i] correspond à tous les protocoles ; c'est aussi la valeur par défaut lorsque cette option est omise.[/col][/row][/table] [b]-s, --source [!] [i]adresse[/i][/[i]masque[/i]][/b] [table][row][col] [/col][col]Spécification de la source. L'[i]adresse[/i] peut être un nom d'hôte (attention : spécifier un nom à résoudre avec une requête distante de type DNS est vraiment une mauvaise idée), une adresse de réseau IPv6 (avec /masque) ou une simple adresse IPv6 (un nom de réseau n'est pas encore pris en charge). Le [i]masque[/i] peut être un masque de réseau ou un nombre entier spécifiant le nombre de bits égaux à 1 dans la partie gauche du masque de réseau (bits de poids fort). Par conséquent, un masque de [i]64[/i] est équivalent à [b]ffff:ffff:ffff:ffff:0000:0000:0000:0000 .[/b] Un «!» avant la spécification d'adresse inverse la sélection d'adresse. L'option [b]--src[/b] est un synonyme de --source.[/col][/row][/table] [b]-d, --destination [!] [i]adresse[/i][/[i]masque[/i]][/b] [table][row][col] [/col][col]Spécification de la destination. Voir la description du paramètre [b]-s[/b] (source) pour une description détaillée de la syntaxe. L'option [b]--dst[/b] est un synonyme de --destination.[/col][/row][/table] [b][i]-j, --jump cible[/i][/b] [table][row][col] [/col][col]Ceci détermine la cible de la règle ; c'est-à-dire ce qu'il faut faire si le paquet correspond à la règle. La cible peut être une chaîne définie par l'utilisateur (autre que celle dans laquelle se situe cette règle), une des cibles prédéfinies qui décide immédiatement du sort du paquet, ou une extension (voir [b]EXTENSIONS[/b] ci-dessous). Si cette option est omise dans une règle, la correspondance d'un paquet avec la règle n'aura aucun effet sur le sort du paquet, mais les compteurs seront incrémentés.[/col][/row][/table] [b]-i, --in-interface [!] [[i]nom[/i]][/b] [table][row][col] [/col][col]Nom de l'interface qui reçoit les paquets (seulement pour les paquets passant par les chaînes [b]INPUT ,[/b] [b]FORWARD[/b] et [b]PREROUTING ).[/b] Lorsqu'un «!» est utilisé avant le nom d'interface, la sélection est inversée. Si le nom de l'interface se termine par un «+», il désigne toutes les interfaces commençant par ce nom. Si cette option est omise, toutes les interfaces réseau sont désignées.[/col][/row][/table] [b]-o, --out-interface [!] [[i]nom[/i]][/b] [table][row][col] [/col][col]Nom de l'interface qui envoie les paquets (seulement pour les paquets passant par les chaînes [b]FORWARD[/b] et [b]OUTPUT ).[/b] Lorsqu'un «!» est utilisé avant le nom d'interface, la sélection est inversée. Si le nom de l'interface se termine par un «+», il désigne toutes les interfaces commençant par ce nom. Si cette option est omise, toutes les interface réseau sont désignées.[/col][/row][/table] [b]-c, --set-counters paquets octets[/b] [table][row][col] [/col][col]Ceci autorise l'administrateur à initialiser les compteurs de paquets et d'octets d'une règle (lors des opérations [b]INSERT,[/b] [b]APPEND,[/b] [b]REPLACE ).[/b][/col][/row][/table] [b]Autres options[/b] Les options supplémentaires suivantes peuvent être employées : [b]-v, --verbose[/b] [table][row][col] [/col][col]Sortie verbeuse. Cette option indique à la commande [b]--list[/b] d'afficher le nom de l'interface, les options de la règle (s'il y en a) et les masques de TOS (type de service). Les compteurs de paquets et d'octets sont aussi affichés, avec les suffixes 'K', 'M' ou 'G' qui multiplient respectivement par 1 000, 1 000 000 et 1 000 000 000 (mais vous pouvez affiner ça avec l'option [b]-x[/b]). Pour les ajouts, insertions, effacements et remplacements, sont fournies des informations détaillées sur la ou les règles à afficher.[/col][/row][/table] [b]-n, --numeric[/b] [table][row][col] [/col][col]Sortie numérique. Les adresses IPv6 et les numéros de ports sont affichés au format numérique. Par défaut, le programme essaie de les afficher sous forme de noms d'hôtes, de noms de réseaux ou de services (lorsque c'est applicable).[/col][/row][/table] [b]-x, --exact[/b] [table][row][col] [/col][col]Nombres étendus. Affiche la valeur exacte des compteurs de paquets et d'octets, au lieu d'afficher un nombre arrondi avec K (multiple de 1 000), M (multiple de 1 000K) ou G (multiple de 1 000M). Cette option n'est utile qu'avec la commande [b]-L[/b].[/col][/row][/table] [b]--line-numbers[/b] [table][row][col] [/col][col]Lorsque les règles sont listées, ceci ajoute un numéro de ligne au début de chaque règle, équivalant à la position de cette règle dans la chaîne.[/col][/row][/table] [b]--modprobe=commande[/b] [table][row][col] [/col][col]Lorsqu'on ajoute ou insère des règles dans une chaîne, utilisez la [b]commande[/b] pour charger les modules nécessaires (cibles, extensions de correspondance, etc).[/col][/row][/table] [size=18] [b]Extensions de correspondance[/b] [/size] [b]ip6tables[/b] peut utiliser des modules additionnels de correspondance de paquets. Ceux-ci peuvent être chargés de deux manières : implicitement, lorsque [b]-p[/b] ou [b]--protocol[/b] est employé, ou avec l'option [b]-m[/b] ou [b]--match[/b], suivie du nom du module de correspondance ; après cela, des options supplémentaires en ligne de commande deviennent disponibles, en fonction du module. Vous pouvez spécifier plusieurs modules de correspondance sur une même ligne, et utiliser l'option [b]-h[/b] ou [b]--help[/b] après avoir spécifié le module, pour visualiser l'aide relative à ce module. Ce qui suit est inclus dans le paquetage de base et la plupart des options peuvent être précédées par un [b]![/b] pour inverser la sélection. [b]Tcp[/b] Ces extensions sont chargées si l'option «--protocol tcp» est spécifiée. Elle procure les options suivantes : [b]--source-port [!] [i]port[/i][:[i]port[/i]][/b] [table][row][col] [/col][col]Spécification d'un port source ou d'un intervalle de ports. Ce peut être le nom d'un service ou le numéro d'un port. Un intervalle (bornes incluses) peut aussi être défini en utilisant le format suivant [b]port : port .[/b] Si le premier port est omis, on considère que c'est «0» ; si le dernier port est omis, on considère que c'est «65535». Si le second port est plus petit que le premier, ils seront intervertis. Et [b]--sport[/b] est un synonyme commode pour cette option.[/col][/row][/table] [b]--destination-port [!] [i]port[/i][:[i]port[/i]][/b] [table][row][col] [/col][col]Spécification d'un port destination ou d'un intervalle de ports. Et [b]--dport[/b] est un synonyme commode pour cette option.[/col][/row][/table] [b]--tcp-flags [!] [i]masque[/i] [i]comp[/i][/b] [table][row][col] [/col][col]Établit une correspondance lorsque les fanions TCP («TCP flags») coïncident avec ceux spécifiés. Le premier argument identifie les fanions à examiner (sous la forme d'un liste de fanions séparés par des virgules) et le deuxième argument identifie les fanions devant être positionnés (toujours sous la forme d'une liste de fanions séparés par des virgules). Les fanions sont : [b]SYN ACK FIN RST URG PSH ALL NONE .[/b] Par conséquent, la commande .nf ip6tables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN .fi ne sélectionnera que les paquets ayant le fanion SYN positionné mais également les fanions ACK, FIN et RST désactivés.[/col][/row][/table] [b][!] --syn[/b] [table][row][col] [/col][col]Établit une correspondance seulement avec les paquets TCP dont le bit SYN est positionné et les bits ACK et RST sont désactivés. De tels paquets sont utilisés pour les requêtes d'établissement de connexion TCP ; par exemple, si l'on bloque ce type de paquets entrants sur une interface, on empêchera les connexions TCP entrantes, mais les connexions TCP sortantes ne seront pas affectées. C'est équivalent à [b]--tcp-flags[/b] SYN,RST,ACK SYN. Si le signe «!» précède le «--syn», la sélection est inversée.[/col][/row][/table] [b]--tcp-option [!] [i]numéro[/i][/b] [table][row][col] [/col][col]Établit une correspondance si l'option TCP indiquée est positionnée.[/col][/row][/table] [b]Udp[/b] Ces extensions sont chargées si «--protocol udp» est spécifié. Elles procurent les options suivantes : [b]--source-port [!] [i]port[/i][:[i]port[/i]][/b] [table][row][col] [/col][col]Spécification d'un port source ou d'un intervalle de ports. Voir la description de l'option [b]--source-port[/b] de l'extension TCP pour obtenir des précisions.[/col][/row][/table] [b]--destination-port [!] [i]port[/i][:[i]port[/i]][/b] [table][row][col] [/col][col]Spécification d'un port destination ou d'un intervalle de ports. Voir la description de l'option [b]--destination-port[/b] de l'extension TCP pour obtenir des précisions.[/col][/row][/table] [b]Ipv6-icmp[/b] Cette extension est chargée si «[b]--protocol[/b] [i]ipv6-icmp[/i]» ou «[b]--protocol[/b] [i]icmpv6[/i]» est spécifié. Elle procure l'option suivante : [b]--icmpv6-type [!] [i]nom_du_type[/i][/b] [table][row][col] [/col][col]Ceci autorise la spécification d'un type ICMP, soit avec un type IPv6-ICMP numérique, soit avec l'un des noms de type IPv6-ICMP fournis par la commande .nf ip6tables -p ipv6-icmp -h .fi[/col][/row][/table] [b]Mac[/b] [b]--mac-source [!] [i]adresse[/i][/b] [table][row][col] [/col][col]Établit une correspondance avec l'adresse MAC source. Elle doit être de la forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que pour les paquets en provenance d'une interface Ethernet et passant par les chaînes [b]PREROUTING ,[/b] [b]FORWARD[/b] ou [b]INPUT .[/b][/col][/row][/table] [b]Limit[/b] Ce module établit une correspondance avec les paquets en respectant un débit limité, à l'aide d'un filtre à seau de jetons («token bucket filter»). Une règle utilisant cette extension établira une correspondance jusqu'à ce que cette limite soit atteinte (sauf si le «!» est employé). Il peut être utilisé conjointement avec la cible [b]LOG[/b], par exemple afin de limiter les messages de journalisation (log). [b][i]--limit taux[/i][/b] [table][row][col] [/col][col]Taux de correspondance moyen maximum : déterminé par un nombre, avec un suffixe optionnel «/second», «/minute», «/hour», ou «/day» ; la valeur par défaut est 3/hour.[/col][/row][/table] [b][i]--limit-burst nombre[/i][/b] [table][row][col] [/col][col]Nombre initial maximum de paquets pouvant correspondre : ce nombre est rechargé de 1 chaque fois que la limite définie précédemment n'est pas atteinte, jusqu'à retrouver la valeur initiale ; la valeur par défaut est 5.[/col][/row][/table] [b]Multiport[/b] Ce module cherche les correspondances avec un ensemble de ports source ou destination. On peut spécifier jusqu'à 15 ports. Il ne peut être utilisé qu'en conjonction avec [b]-p tcp[/b] ou [b]-p udp .[/b] [b]--source-ports [i]port[/i][,[i]port[/i][,[i]port[/i]...]][/b] [table][row][col] [/col][col]Établit la correspondance si le port source est l'un des ports spécifiés. Et [b]--sports[/b] est un synonyme commode pour cette option.[/col][/row][/table] [b]--destination-ports [i]port[/i][,[i]port[/i][,[i]port[/i]...]][/b] [table][row][col] [/col][col]Établit la correspondance si le port destination est l'un des ports spécifiés. Et [b]--dports[/b] est un synonyme commode pour cette option.[/col][/row][/table] [b]--ports [i]port[/i][,[i]port[/i][,[i]port[/i]...]][/b] [table][row][col] [/col][col]Établit la correspondance si les ports source et destination sont identiques, et égaux à l'un des ports spécifiés.[/col][/row][/table] [b]Mark[/b] Ce module cherche une correspondance avec le champ de marquage de Netfilter associé à un paquet (celui-ci peut être positionné en utilisant la cible [b]MARK[/b] décrite ci-dessous). [b]--mark [i]valeur[/i][/[i]masque[/i]][/b] [table][row][col] [/col][col]Établit une correspondance avec les paquets associés à la valeur de marquage non-signée fournie (si un masque est spécifié, on effectue un ET logique avec le masque avant la comparaison).[/col][/row][/table] [b]Owner[/b] Ce module tente d'établir une correspondance avec différentes caractéristiques du créateur d'un paquet, pour les paquets générés localement. Il est valide uniquement dans la chaîne [b]OUTPUT ,[/b] et même si certains paquets sans propriétaire (comme les réponses ICMP d'un ping) ne correspondront jamais. Ceci est considéré comme expérimental. [b][i]--uid-owner id_utilisateur[/i][/b] [table][row][col] [/col][col]Établit une correspondance si le paquet a été créé par un processus avec l'identifiant d'utilisateur donné.[/col][/row][/table] [b][i]--gid-owner id_de_groupe[/i][/b] [table][row][col] [/col][col]Établit une correspondance si le paquet a été créé par un processus avec l'identifiant de groupe donné.[/col][/row][/table] [b][i]--pid-owner id_du_processus[/i][/b] [table][row][col] [/col][col]Établit une correspondance si le paquet a été créé par un processus avec le numéro de processus donné.[/col][/row][/table] [b][i]--sid-owner id_de_session[/i][/b] [table][row][col] [/col][col]Établit une correspondance si le paquet a été créé par un processus dans le groupe de session donné.[/col][/row][/table] [size=18] [b]Extensions de cible[/b] [/size] [b]ip6tables[/b] peut utiliser des modules de cible additionnels : les suivants sont inclus dans la distribution standard. [b]Log[/b] Met en service la journalisation par le noyau pour les paquets qui correspondent. Lorsque cette option est définie dans une règle, le noyau Linux affichera des informations sur tous les paquets correspondant avec cette règle (comme la plupart des champs de l'en-tête IPv6) par l'intermédiaire des journaux du noyau (que l'on peut lire avec [i]dmesg[/i] ou [b]syslogd (8)).[/b] Ceci est une cible «non déterminante», c.-à-d. que l'analyse de cette règle enchaîne nécessairement sur la règle suivante. Ainsi, si vous voulez journaliser des paquets à rejeter, utilisez deux règles distinctes avec le même critère de correspondance, en plaçant en premier la cible LOG et ensuite la cible DROP (ou REJECT). [b][i]--log-level niveau[/i][/b] [table][row][col] [/col][col]Niveau de journalisation (sous forme numérique, ou voir [i]syslog.conf[/i](5)).[/col][/row][/table] [b][i]--log-prefix préfixe[/i][/b] [table][row][col] [/col][col]Préfixe les messages de journalisation avec le préfixe indiqué ; jusqu'à 29 lettres de long, il est très utile pour différencier les différents messages dans les fichiers journaux.[/col][/row][/table] [b]--log-tcp-sequence[/b] [table][row][col] [/col][col]Journalise les numéros de séquence TCP. Ce peut être un risque pour la sécurité si les fichiers journaux sont lisibles par les utilisateurs ordinaires.[/col][/row][/table] [b]--log-tcp-options[/b] [table][row][col] [/col][col]Journalise les options de l'en-tête des paquets TCP.[/col][/row][/table] [b]--log-ip-options[/b] [table][row][col] [/col][col]Journalise les options de l'en-tête des paquets IPv6.[/col][/row][/table] [b]Mark[/b] Ceci est utilisé pour activer la valeur de marquage de Netfilter associée au paquet. Ceci est valide uniquement avec la table [b]mangle .[/b] [b][i]--set-mark marque[/i][/b][/col][/row][/table] [b]Reject[/b] [table][row][col] [/col][col]Cette cible est utilisée pour répondre par un paquet d'erreur à un paquet qui correspond : à part cela, c'est équivalent à [b]DROP ,[/b] donc c'est une cible déterminante, concluant l'analyse d'une règle. Cette cible est uniquement valide dans les chaînes [b]INPUT ,[/b] [b]FORWARD[/b] et [b]OUTPUT ,[/b] et dans les chaînes définies par l'utilisateur appelées par celles-ci. L'option suivante contrôle la nature du paquet d'erreur retourné : [b][i]--reject-with type[/i][/b] [table][row][col] [/col][col]Le type donné peut être [b]icmp6-no-route ,[/b] [b]no-route[/b] (absence de route), [b]icmp6-adm-prohibited ,[/b] [b]adm-prohibited[/b] (communication interdite par l'administrateur), [b]icmp6-addr-unreachable ,[/b] [b]addr-unreach[/b] (adresse introuvable), [b]icmp6-port-unreachable[/b] ou [b]port-unreach[/b] (port inaccessible), chacun retournant le message d'erreur IPv6-ICMP approprié (par défaut, [b]port[/b] inaccessible). L'option [b]tcp-reset[/b] peut être utilisée dans les règles associées uniquement avec le protocole TCP : on envoie en retour un paquet TCP RST. On l'utilise principalement pour bloquer les sondes [i]ident[/i] (113/tcp), ce qui arrive fréquemment lorsqu'on envoie des courriels à des hôtes de messagerie inaccessibles (qui d'ailleurs n'accepteront pas votre courrier).[/col][/row][/table] [size=18] [b]Diagnostiques[/b] [/size] Divers messages d'erreur sont envoyés vers la sortie d'erreur standard. Un code de sortie de 0 correspond à un fonctionnement normal. Une ligne de commande contenant des paramètres invalides ou abusifs génère un code de sortie égal à 2, et les autres erreurs renvoient un code de sortie égal à 1. [size=18] [b]Bugs[/b] [/size] Des bogues ? Qu'est-ce que c'est ? ;-) Bon... les compteurs ne sont pas fiables sur l'architecture sparc64. [size=18] [b]Compatibilité avec ipchains[/b] [/size] Cet [b]ip6tables[/b] est très similaire à l'[b]ipchains[/b] de Rusty Russell. La différence principale est que les chaînes [b]INPUT[/b] et [b]OUTPUT[/b] sont uniquement traversées, respectivement par les paquets entrant dans la machine locale et sortant de la machine locale. Par conséquent, tous les paquets passent uniquement par une seule des trois chaînes (sauf le trafic vers la boucle locale, qui implique à la fois les chaînes INPUT et OUTPUT) ; auparavant, un paquet redirigé serait passé par les trois chaînes. L'autre différence principale est que [b]-i[/b] fait référence à l'interface d'entrée ; [b]-o[/b] fait référence à l'interface de sortie, et toutes les deux sont disponibles pour les paquets entrant dans la chaîne [b]FORWARD .[/b] Il y a quelques autres changements dans [b]ip6tables[/b]. [size=18] [b]Voir aussi[/b] [/size] [b]ip6tables-save (8),[/b] [b]ip6tables-restore (8),[/b] [b]iptables (8),[/b] [b]iptables-save (8),[/b] [b]iptables-restore (8).[/b] Le «Guide pratique du filtrage de paquets» (Packet-Filtering-HOWTO) qui détaille l'utilisation d'[b]iptables[/b] pour les techniques de filtrage, le «Guide pratique de la traduction d'adresses réseau» (NAT-HOWTO) qui détaille la traduction d'adresse réseau, le Netfilter-extensions-HOWTO qui détaille les extensions absentes de la distribution standard, et le Netfilter-Hacking-HOWTO qui détaille le fonctionnement interne de Netfilter. [b][/b] Consulter [b]http://www.netfilter.org/ .[/b] [size=18] [b]Traduction[/b] [/size] Christophe Donnier (mars 2002), Guillaume Audirac (août 2004) [size=18] [b]Auteurs[/b] [/size] Rusty Russell a écrit [b]iptables[/b], avec la collaboration de Michael Neuling. Marc Boucher a suggéré à Rusty l'abandon d'[b]ipnatctl[/b] en proposant une structure générique de sélection de paquets dans [i]iptables[/i], puis il écrivit la table mangle, la correspondance avec le propriétaire, des choses sur le marquage, puis s'en fut faire d'autres choses géniales un peu partout. James Morris a écrit la cible du Type de Service (TOS) et les correspondances de TOS. Jozsef Kadlecsik a écrit la cible REJECT. Harald Welte a écrit la cible ULOG, les correspondances et les cibles TTL, et libipulog. L'équipe principale de Netfilter est composée de : Marc Boucher, Martin Josefsson, Jozsef Kadlecsik, James Morris, Harald Welte et Rusty Russell. La page de manuel ip6tables a été créée par Andras Kis-Szabo, à partir de la page de manuel iptables écrite par Hervé Eychenne
. [size=18] [b]Traduction[/b] [/size] Il est possible que cette traduction soit imparfaite ou périmée. En cas de doute, veuillez vous reporter au document original en langue anglaise fourni avec le programme.
Fichier
Forum
-
Derniers messages
Bavardages
Aujourd'hui, je rénove ou je construis ^^
Software
problème sur windows 10
Réseaux et Télécom
Administrateur Réseau - Cisco
Réseaux et Télécom
Problème wifi (POE)
Software
Postfix - Need help
Bavardages
Oh râge oh désespoir !
Programmation
Enregistrement client et envoi mail
Software
SÉCURITÉ MACBOOK
Hardware
conseil matos réseau?
Hardware
nVidia Shield Android TV
Actualités
-
Archives
Consoles
Le lancement de la Nintendo Switch 2 serait prévu pour mars 2025
Google
Enfin Google Agenda et Tasks ne font plus qu'un : ce qui change sur Android
Google
Google Gemini est de plus en plus puissant et avec Android 16, il deviendra l'assistant définitif
Social
Les nouveaux symboles WhatsApp : ce qu'ils signifient et qui les recevra
Navigateurs
Fini Alt+Tab : Microsoft propose la superposition de navigateur Edge pour les joueurs
Ada
CSS
Cobol
CPP
HTML
Fortran
Java
JavaScript
Pascal
Perl
PHP
Python
SQL
VB
XML
Anon URL
DailyMotion
eBay
Flickr
FLV
Google Video
Google Maps
Metacafe
MP3
SeeqPod
Veoh
Yahoo Video
YouTube
6px
8px
10px
12px
14px
16px
18px
Informaticien.be
- © 2002-2024
Akretio
SPRL - Generated via
Kelare
The Akretio Network:
Akretio
-
Freedelity
-
KelCommerce
-
Votre publicité sur informaticien.be ?