Man page - iptables-extensions(8)

Packages contains this manual

Package: iptables
apt-get install iptables

Manuals in package:

Documentations in package:

iptables

Available languages:

en fr ja ru ro

Manual

iptables-extensions

NOM

iptables-extensions — Liste des extensions dans la distribution standard d’iptables

SYNOPSIS

ip6tables [ -m nom [ options_module ...]] [ -j nom_action [ options_action ...]

iptables [ -m nom [ options_module ...]] [ -j nom_action [ options_action ...]

EXTENSIONS DE COMPARAISON

iptables peut utiliser des modules de comparaison étendue de paquets à l’aide des options -m ou --match suivies du nom du module de comparaison ; différentes options de ligne de commande complémentaires sont alors disponibles en fonction du module spécifique. Vous pouvez spécifier plusieurs modules de comparaison étendue sur une seule ligne, et vous pouvez utiliser l’options -h ou --help , une fois le module spécifié, afin d’obtenir une aide spécifique à ce dernier. Les modules de comparaison étendue sont pris en compte dans l’ordre selon lequel ils sont spécifiés dans la règle.

Si l’option -p ou --protocol a été spécifiée et si et seulement si une option inconnue est rencontrée, iptables va essayer de charger un module de comparaison de même nom que celui du protocole pour tenter de rendre l’option disponible.

addrtype

Ce module vérifie la correspondance des paquets en fonction de leur type d’adresse . Les types d’adresse sont utilisés dans la pile réseau du noyau et classent les adresses en plusieurs groupes. La définition exacte de ces groupes dépend du protocole spécifique de couche trois.

Les types d’adresse valables sont les suivants :

UNSPEC

une adresse non spécifiée (par exemple 0.0.0.0)

UNICAST

une adresse unicast (connexion point-à-point)

LOCAL

une adresse locale

BROADCAST

une adresse de broadcast (diffusion générale)

ANYCAST

un paquet anycast (une adresse pour plusieurs destinataires)

MULTICAST

une adresse multicast (diffusion vers un groupe de destinataires)

BLACKHOLE

une adresse blackhole (trou noir)

UNREACHABLE

une adresse inaccessible

PROHIBIT

une adresse interdite

	THROW		FIXME
	NAT		FIXME

XRESOLVE
[ ! ] --src-type type

Vérifier si l’adresse source est du type donné

[ ! ] --dst-type type

Vérifier si l’adresse de destination est du type donné

--limit-iface-in

La vérification du type d’adresse peut être limitée à l’interface par laquelle entre le paquet. Cette option n’est valable que dans les chaînes PREROUTING , INPUT et FORWARD . Elle ne peut pas être spécifiée en combinaison avec l’option --limit-iface-out .

--limit-iface-out

La vérification du type d’adresse peut être limitée à l’interface par laquelle sort le paquet. Cette option n’est valable que dans les chaînes POSTROUTING , OUTPUT et FORWARD . Elle ne peut pas être spécifiée en combinaison avec l’option --limit-iface-in .

ah (spécifique à IPv6)

Ce module vérifie la correspondance des paramètres dans l’en-tête Authentication des paquets IPsec.
[ ! ] --ahspi spi [ : spi ]

Vérifier la correspondance des SPI (Security Parameters Index — Index des Paramètres de Sécurité).

[ ! ] --ahlen taille

Taille totale de cet en-tête en octets.

--ahres

Correspondance si le champ réservé est rempli avec des zéros.

ah (spécifique à IPv4)

Ce module vérifie la correspondance des SPI (Security Parameters Index — Index des Paramètres de Sécurité) dans l’en-tête Authentication des paquets IPsec.
[ ! ] --ahspi spi [ : spi ]

bpf

Vérifier les correspondances en utilisant un filtre de socket Linux. Prend comme paramètre le chemin d’un objet eBPF (Extended Berkeley Packet Filter) ou d’un programme cBPF (Classic Berkeley Packet Filter) au format décimal.
--object-pinned chemin

Spécifier le chemin vers un objet eBPF épinglé.

Les applications chargent les programmes eBPF dans le noyau à l’aide de l’appel système bpf() et de la commande BPF_PROG_LOAD, et peuvent les épingler (référencer) dans un système de fichiers virtuel à l’aide de BPF_OBJ_PIN. Pour utiliser un objet épinglé dans iptables, montez le système de fichiers bpf en utilisant

mount -t bpf bpf ${BPF_MOUNT}

puis insérez le filtre dans iptables avec son chemin :

iptables -A OUTPUT -m bpf --object-pinned ${BPF_MOUNT}/{PINNED_PATH} -j ACCEPT

--bytecode code

Passer le format de bytecode (code intermédiaire) BPF tel que généré par l’utilitaire nfbpf_compile .

Le format de code est similaire à la sortie de la commande « tcpdump -ddd » : une ligne qui indique le nombre d’instructions suivie d’une ligne pour chaque instruction. Les lignes d’instruction respectent le motif « u16 u8 u8 u32 » en notation décimale. Les champs codent l’opération, le décalage de saut si vrai, le décalage de saut si faux et le champ multi-usage générique « K ». Les commentaires ne sont pas pris en charge.

Par exemple, pour ne lire que les paquets correspondant à « ip proto 6 », insérez ce qui suit, sans commentaires, ni blancs à la fin :

4 # nombre d’instructions
48 0 0 9 # charger le bytecode ip->proto
21 0 1 6 # saut égal à IPPROTO_TCP
6 0 0 1 # renvoyer réussite (différent de zéro)
6 0 0 0 # renvoyer échec (zéro)

Vous pouvez transmettre ce filtre à la vérification de correspondance bpf à l’aide de la commande suivante :

iptables -A OUTPUT -m bpf --bytecode ’4,48 0 0 9,21 0 1 6,6 0 0 1,6 0 0 0’ -j ACCEPT

À la place, vous pouvez invoquer l’utilitaire nfbpf_compile.

iptables -A OUTPUT -m bpf --bytecode "‘nfbpf_compile RAW ’ip proto 6’‘" -j ACCEPT

Ou alors, utilisez tcpdump -ddd. Dans ce cas, générez un BPF ciblant un dispositif avec le même type de liaison de données que la correspondance de xtables. iptables transmet les paquets de la couche réseau à la couche supérieure, sans couche MAC. Sélectionner un dispositif ayant pour type de liaison de données RAW, comme un dispositif « tun » :

ip tuntap add tun0 mode tun
ip link set tun0 up
tcpdump -ddd -i tun0 ip proto 6

Utilisez la commande « tcpdump -L -i $dev » pour obtenir la liste des types de liaison de données connus pour un dispositif donné.

Pour en apprendre davantage à propos de BPF, lisez la page de manuel bpf (4) de FreeBSD.

cgroup

[ ! ] --path chemin

Vérifier la correspondance de l’appartenance à cgroup2.

Chaque socket est associé au cgroup version 2 des processus de création. Les paquets qui correspondent viennent de (ou vont vers) tous les sockets de la sous-hiérarchie du chemin spécifié. Le chemin doit être relatif à la racine de la hiérarchie cgroup2.

[ ! ] --cgroup identifiant_classe

Vérifier la correspondance à l’identifiant de classe net_cls de cgroup.

L’identifiant de classe est le marqueur défini à l’aide du contrôleur net_cls de cgroup. Cette option ne peut pas être utilisée en combinaison avec l’option --path .

Exemple :

iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --path service/serveur_HTTP -j DROP

iptables -A OUTPUT -p tcp --sport 80 -m cgroup ! --cgroup 1 -j DROP

IMPORTANT : lorsqu’il est utilisé dans la chaîne INPUT, le vérificateur de correspondance cgroup n’est pas actuellement d’une grande utilité, car il ne vérifie que la correspondance des paquets qui sont traités pour les sockets locaux à l’aide d’un démultiplexage de socket précoce. C’est pourquoi son utilisation dans la chaîne INPUT n’est pas recommandée, sauf si ses implications sont bien comprises.

Disponible à partir de Linux 3.14.

cluster

Ce module permet de déployer des grappes de passerelles et de dorsaux à partage de charge sans avoir besoin de répartiteurs de charge.

Cette recherche de correspondance nécessite que tous les nœuds voient les mêmes paquets. La correspondance « cluster » pourra alors décider si ce nœud doit gérer un paquet en fonction des options suivantes :
--cluster-total-nodes nombre

Définir le nombre total de nœuds dans la grappe.

[ ! ] --cluster-local-node numéro

Définir l’identifiant du numéro de nœud local.

[ ! ] --cluster-local-nodemask masque

Définir le masque de l’identifiant du numéro de nœud local. Vous pouvez utiliser cette option à la place de --cluster-local-node .

--cluster-hash-seed valeur

Définir la valeur de germe du hachage de Jenkins.

Exemple :

iptables -A PREROUTING -t mangle -i eth1 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff

iptables -A PREROUTING -t mangle -i eth2 -m cluster --cluster-total-nodes 2 --cluster-local-node 1 --cluster-hash-seed 0xdeadbeef -j MARK --set-mark 0xffff

iptables -A PREROUTING -t mangle -i eth1 -m mark ! --mark 0xffff -j DROP

iptables -A PREROUTING -t mangle -i eth2 -m mark ! --mark 0xffff -j DROP

Et les commandes suivantes pour faire que tous les nœuds voient les mêmes paquets :

ip maddr add 01:00:5e:00:01:01 dev eth1

ip maddr add 01:00:5e:00:01:02 dev eth2

arptables -A OUTPUT -o eth1 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:01

arptables -A INPUT -i eth1 --h-length 6 --destination-mac 01:00:5e:00:01:01 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27

arptables -A OUTPUT -o eth2 --h-length 6 -j mangle --mangle-mac-s 01:00:5e:00:01:02

arptables -A INPUT -i eth2 --h-length 6 --destination-mac 01:00:5e:00:01:02 -j mangle --mangle-mac-d 00:zz:yy:xx:5a:27

NOTE : les commandes arptables ci-avant utilisent la syntaxe courante. Si vous utilisez arptables-jf fournie avec certaines versions de RedHat, CentOS et Fedora, vous ferez face à des erreurs de syntaxe. Dans ce cas, vous devrez adapter ces exemples à la syntaxe d’arptables-jf pour qu’ils puissent fonctionner.

Dans le cas des connexions TCP, la fonctionnalité pickup doit être désactivée pour éviter de marquer les paquets TCP ACK entrant dans le sens de la réponse comme valables.

echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

comment

Cette extension permet d’ajouter des commentaires (jusqu’à 256 caractères) à toute règle.
--comment commentaire
Exemple :

iptables -A INPUT -i eth1 -m comment --comment "mon réseau local"

connbytes

Vérifier la correspondance en fonction du nombre d’octets ou de paquets qu’une connexion (ou un des deux flux constituant la connexion) a déjà transmis, ou en fonction du nombre moyen d’octets par paquet.

Les compteurs sont sur 64 bits et ne risquent donc pas de déborder ;)

La principale utilisation consiste à détecter les téléchargements de longue durée et à les marquer pour être programmés avec une priorité inférieure dans le contrôle de trafic.

Le nombre d’octets transférés par connexion peut être visualisé à l’aide de « conntrack -L » et accédé à l’aide de ctnetlink.

Notez que pour les connexions qui ne possèdent pas d’informations de comptage, la vérification de correspondance renverra toujours faux. Le drapeau de sysctl « net.netfilter.nf_conntrack_acct » définit si les nouvelles connexions feront l’objet d’un comptage d’octets et de paquets. Les flux des connexions existantes ne gagneront/perdront pas une/leur structure de comptage après une bascule du drapeau de sysctl.
[ ! ] --connbytes mini [ : maxi ]

Vérifier la correspondance des paquets issus d’une connexion dont le nombre de paquets ou d’octets transmis, ou la taille moyenne des paquets est supérieure à mini et inférieure à maxi octets. Si maxi est omis, seule la supériorité de la valeur à mini est vérifiée. « ! » permet de vérifier la correspondance des paquets qui ne correspondent pas à l’intervalle spécifié.

--connbytes-dir { original | reply | both }

Paquets à prendre en compte

--connbytes-mode { packets | bytes | avgpkt }

Cette option permet de définir s’il faut vérifier le nombre de paquets ou d’octets transmis, ou la taille moyenne (en octets) de tous les paquets déjà reçus. Notez que lorsque « both « est utilisé en combinaison avec « avgpkt », et si les données transitent principalement dans une seule direction (comme par exemple avec HTTP), la taille moyenne des paquets sera à peu près égale à la moitié de celle des paquets de données proprement dits.

Exemple :

iptables .. -m connbytes --connbytes 10000:100000 --connbytes-dir both --connbytes-mode bytes ...

connlabel

Ce module fait correspondre ou ajoute des connlabels (étiquettes de connexion) à une connexion. Les connlabels sont similaires aux connmarks, sauf que les étiquettes sont basées sur des bits ; c’est-à-dire que toutes les étiquettes peuvent être attachées à un flux en même temps. Ce module prend actuellement en charge jusqu’à 128 étiquettes uniques.
[ ! ] --label nom

Correspondance si l’étiquette nom à été définie pour la connexion. On peut utiliser un nombre à la place d’un nom (lequel sera converti en nombre, voir EXEMPLE ci-après). Utiliser un nombre outrepasse toujours le fichier connlabel.conf .

--set

Définir une étiquette pour une connexion si elle ne l’est pas déjà. Noter que définir une étiquette peut échouer, car le noyau alloue la zone de stockage de l’étiquette conntrack à la création de la connexion, et il ne réserve que la quantité de mémoire requise par le jeu de règles existant à la création de la connexion. Dans ce cas, la correspondance échouera (ou réussira en cas de négation de l’option --label ).

Cette vérification de correspondance requiert libnetfilter_conntrack version 1.0.4 ou ultérieure. La traduction d’étiquette est effectuée à l’aide du fichier de configuration /etc/xtables/connlabel.conf .

Exemple :

0 eth0-in

			1
			eth0-out
			2
			ppp-in
			3
			ppp-out
			4
			bulk-traffic
			5
			interactive

connlimit

Ce module vous permet de limiter le nombre de connexions simultanées à un serveur par adresse IP client (ou bloc d’adresses client).
--connlimit-upto n

Correspondance si le nombre de connexions existantes est inférieur ou égal à n .

--connlimit-above n

Correspondance si le nombre de connexions existantes est strictement supérieur à n .

--connlimit-mask taille_préfixe

Regrouper les hôtes en fonction de la taille du préfixe. Pour IPv4, cette taille doit être un nombre entre 0 et 32 inclus (ou entre 0 et 128 pour IPv6). Par défaut, c’est la taille maximale de préfixe pour le protocole applicable qui sera utilisée.

--connlimit-saddr

Appliquer la limite au groupe source. Il s’agit du comportement par défaut si --connlimit-daddr n’est pas spécifiée.

--connlimit-daddr

Appliquer la limite au groupe destination.

Exemples :

permettre 2 connexions telnet par hôte client :

iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-above 2 -j REJECT

vous pouvez aussi utiliser l’option inverse :

iptables -A INPUT -p tcp --syn --dport 23 -m connlimit --connlimit-upto 2 -j ACCEPT

limiter le nombre de requêtes HTTP simultanées à 16 par réseau source de classe C (masque réseau de 24 bits) :

iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT

limiter le nombre de requêtes HTTP simultanées à 16 pour le réseau de liaison locale (IPv6) :

ip6tables -p tcp --syn --dport 80 -s fe80::/64 -m connlimit --connlimit-above 16 --connlimit-mask 64 -j REJECT

limiter le nombre de connexions vers un hôte particulier :

ip6tables -p tcp --syn --dport 49152:65535 -d 2001:db8::1 -m connlimit --connlimit-above 100 -j REJECT

connmark

Ce module recherche une correspondance du champ « mark » de netfilter associé à une connexion (et qui peut être défini à l’aide de l’action CONNMARK ci-après).
[ ! ] --mark valeur [ / masque ]

Vérifier la correspondance des paquets dans les connexions possédant la valeur de « mark » donnée (si un masque est spécifié, il est combiné à l’aide d’un ET logique avec la valeur de « mark » avant la comparaison).

conntrack

Ce module, lorsque combiné avec le traçage de connexion, permet d’accéder à l’état du traçage de connexion pour ce paquet ou cette connexion.
[ ! ] --ctstate liste_états

liste_états est une liste, séparée par des virgules, des états de connexion à comparer. Les états possibles sont énumérés ci-après.

[ ! ] --ctproto l4proto

Protocol de la couche 4 à comparer (sous forme de numéro ou de nom).

[ ! ] --ctorigsrc adresse [ / masque ]
[ ! ] --ctorigdst adresse [ / masque ]
[ ! ] --ctreplsrc adresse [ / masque ]
[ ! ] --ctrepldst adresse [ / masque ]

Comparaison avec l’adresse originelle/réponse source/destination.

[ ! ] --ctorigsrcport port [ : port ]
[ ! ] --ctorigdstport port [ : port ]
[ ! ] --ctreplsrcport port [ : port ]
[ ! ] --ctrepldstport port [ : port ]

Comparaison avec le port originel/réponse source/destination (TCP/UDP/etc.) ou la clé GRE. La comparaison avec des plages de port n’est prise en charge que pour les versions du noyau supérieures à 2.6.38.

[ ! ] --ctstatus liste_états

statuslist est une liste, séparée par des virgules, des états de connexion à comparer. Les états possibles sont énumérés ci-après.

[ ! ] --ctexpire durée [ : durée ]

Comparaison entre la durée de vie restante en secondes et la valeur ou l’intervalle de valeurs (incluses) donné.

--ctdir { ORIGINAL | REPLY }

Vérifier la correspondance des paquets qui cheminent dans la direction spécifiée. Si ce drapeau n’est pas spécifié, les paquets qui cheminent dans les deux directions correspondent.

États pour --ctstate :
INVALID

Le paquet n’est associé à aucune connexion connue.

NEW

Le paquet a initié une nouvelle connexion ou est associé à une connexion qui n’a pas vu de paquets dans les deux directions.

ESTABLISHED

Le paquet est associé à une connexion qui a vu des paquets dans les deux directions.

RELATED

Le paquet initie une nouvelle connexion mais est déjà associé à une connexion existante, telle qu’un transfert de données FTP ou une erreur ICMP.

UNTRACKED

Le paquet n’est pas tracé, ce qui se produit si vous indiquez explicitement de ne pas le tracer en utilisant « -j CT --notrack » dans la table « raw ».

	SNAT		Un état virtuel qui correspond si l’adresse source originelle diffère de l’adresse destination de réponse.
	DNAT		Un état virtuel qui correspond si l’adresse destination originelle diffère de l’adresse source de réponse.

États pour --ctstatus :

NONE

Aucun des états ci-après.

EXPECTED

Il s’agit d’une connexion attendue (c’est-à-dire qu’un assistant de conntrack l’a établie).

SEEN_REPLY

Conntrack a vu des paquets dans les deux directions.

ASSURED

L’entrée de conntrack ne doit jamais être périmée prématurément.

CONFIRMED

La connexion est confirmée : le paquet qui en est à l’origine a quitté la boîte.

cpu

[ ! ] --cpu numéro

Vérifier le numéro de CPU (central processing unit — processeur) qui traite ce paquet. Les CPU sont numérotés de 0 à nombre_CPU - 1. Peut être utilisé en combinaison avec RPS (Remote Packet Steering — Pilotage de paquets à distance) ou les cartes réseau à files d’attente multiples (multiqueue NIC) pour répartir le trafic réseau sur différentes files d’attente.

Exemple :

iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 0 -j REDIRECT --to-ports 8080

iptables -t nat -A PREROUTING -p tcp --dport 80 -m cpu --cpu 1 -j REDIRECT --to-ports 8081

Disponible depuis Linux 2.6.36.

dccp

[ ! ] --source-port , --sport port [ : port ]
[ ! ] --destination-port , --dport port [ : port ]
[ ! ] --dccp-types masque

Correspondance si le type de paquet DCCP (Datagram Congestion Control Protocol — Protocole de Contrôle de Congestion des Datagrammes) fait partie de masque . masque est une liste de types de paquet séparés par des virgules. Les types de paquets sont : REQUEST, RESPONSE, DATA, ACK, DATAACK, CLOSEREQ, CLOSE, RESET, SYNC, SYNCACK et INVALID .

[ ! ] --dccp-option nombre

Correspondance si l’option DCCP est définie.

devgroup

Vérifier la correspondance du groupe de dispositifs de l’interface d’un paquet entrant/sortant.
[ ! ] --src-group nom

Vérifier la correspondance du groupe de dispositifs du dispositif entrant.

[ ! ] --dst-group nom

Vérifier la correspondance du groupe de dispositifs du dispositif sortant.

dscp

Ce module vérifie la correspondance du champ DSCP (Differentiated Services Code Point — champ permettant de différencier les services) sur 6 bits à l’intérieur du champ TOS (Type Of Service) de l’en-tête IP. DSCP a supplanté TOS au sein de l’IETF (Internet Engineering Task Force).
[ ! ] --dscp valeur

Correspondance avec une valeur décimale ou hexadécimale comprise dans la plage 0–63.

[ ! ] --dscp-class classe

Vérifier la correspondance avec la classe DiffServ (Differentiated Services — Services Différenciés). Les classes valables sont BE, EF, AFxx ou CSx. Elles sont ensuite converties vers leurs valeurs numériques respectives.

dst (spécifique à IPv6)

Ce module vérifie la correspondance des paramètres de l’en-tête « Destination Options ».
[ ! ] --dst-len taille

Taille totale de cet en-tête en octets.

--dst-opts type [ : taille ][ , type [ : taille ]...]

Type numérique de l’option et taille des données de l’option en octets.

ecn

Ce module permet de vérifier la correspondance des bits ECN de l’en-tête IPv4/IPv6 et TCP. ECN (Explicit Congestion Notification) est le mécanisme de notification explicite de congestion décrit dans la RFC 3168.
[ ! ] --ecn-tcp-cwr

Correspond si le bit TCP ECN CWR (Congestion Window Received — fenêtre de congestion reçue) est positionné.

[ ! ] --ecn-tcp-ece

Correspond si le bit TCP ECN ECE (ECN Echo — paquet reçu avec le bit CE positionné) est positionné.

[ ! ] --ecn-ip-ect nombre

Vérifie la correspondance d’un point de code IPv4/IPv6 ECT (ECN-Capable Transport) particulier. Vous devez spécifier un nombre entre 0 et 3.

esp

Ce module vérifie la correspondance des SPI (Security Parameters Index — index des paramètres de sécurité) de l’en-tête ESP (Encapsulation Security Payload — encapsulation sécurisée de charge utile) des paquets IPsec.
[ ! ] --espspi spi [ : spi ]

eui64 (Extended Unique Identifier — identifiant unique étendu) ; spécifiqueà IPv6.

Ce module vérifie la correspondance de la partie EUI-64 d’une adresse IPv6 autoconfigurée sans conservation d’état (stateless). Il compare cette partie EUI-64 dérivée de l’adresse MAC source dans la trame Ethernet avec les 64 bits les moins significatifs de l’adresse IPv6 source. Le bit « Universal/Local » n’est cependant pas comparé. Ce module ne vérifie pas la correspondance d’autres trames de la couche liaison et n’est valable que dans les chaînes PREROUTING , INPUT et FORWARD .

frag (spécifique à IPv6)

Ce module vérifie la correspondance des paramètres de l’en-tête Fragment.
[ ! ] --fragid id [ : id ]

Vérifie la correspondance de l’identifiant ou de la plage d’identifiant donné.

[ ! ] --fraglen taille

Cette option ne peut pas être utilisée avec un noyau de version 2.6.10 ou ultérieure. La taille de l’en-tête Fragment est statique et cette option n’est donc pas pertinente.

--fragres

Correspond si les champs réservés sont remplis de zéros.

--fragfirst

Vérifier s’il s’agit du premier fragment.

--fragmore

Correspond s’il y a encore des fragments.

--fraglast

Correspond s’il s’agit du dernier fragment.

hashlimit

hashlimit utilise des compartiments de hachage (hash buckets) pour exprimer une correspondance de limitation de débit (comme la correspondance de limit ) pour un groupe de connexions utilisant une seule règle iptables. Le groupement peut s’effectuer par groupe d’hôtes (adresse source et/ou destination) et/ou par port. Ce module permet d’exprimer « N paquets par unité de temps et par groupe » ou « N octets par seconde » (voir les exemples ci-après).

Les options de limite de hachage ( --hashlimit-upto , --hashlimit-above ) et --hashlimit-name sont obligatoires.
--hashlimit-upto quantité [ /second | /minute | /hour | /day ]

Correspond si le débit est inférieur ou égal à quantité /unité de temps. Ce débit est spécifié sous la forme d’un nombre avec un suffixe d’unité de temps facultatif (la valeur par défaut est 3/hour), ou sous la forme quantité b/second (nombre d’octets par seconde).

--hashlimit-above quantité [ /second | /minute | /hour | /day ]

Correspond si le débit est supérieur à quantité /unité de temps.

--hashlimit-burst quantité

Nombre initial maximal de paquets à comparer : ce nombre est incrémenté de 1 tant que la limite spécifiée ci-avant n’est pas atteinte, et ce jusqu’à ce que cette limite soit atteinte ; la valeur par défaut est 5. Lorsqu’une vérification de correspondance de débit en octets est demandée, cette option spécifie la quantité d’octets pouvant excéder le débit donné. Cette option doit être utilisée avec précautions — si l’entrée arrive à expiration, cette valeur est aussi réinitialisée.

--hashlimit-mode { srcip | srcport | dstip | dstport } , ...

Une liste, séparée par des virgules, d’objets à prendre en considération. Si aucune option --hashlimit-mode n’est spécifiée, hashlimit agit comme limit, au prix de devoir faire le ménage du hachage.

--hashlimit-srcmask préfixe

Lorsque « --hashlimit-mode srcip » est spécifié, toutes les adresses source rencontrées seront regroupées en fonction de la taille du préfixe donné, et le sous-réseau ainsi créé sera soumis à hashlimit. préfixe doit être entre 0 et 32 inclus. Notez que « --hashlimit-srcmask 0 » produit le même effet que ne pas spécifier srcip pour --hashlimit-mode , mais consomme plus de ressources.

--hashlimit-dstmask préfixe

Comme --hashlimit-srcmask , mais pour les adresses destination.

--hashlimit-name nom_limite

Le nom pour l’entrée /proc/net/ipt_hashlimit/nom_limite

--hashlimit-htable-size compartiments

Le nombre de compartiments dans la table de hachages.

--hashlimit-htable-max entrées

Le nombre maximal d’entrées dans le hachage.

--hashlimit-htable-expire msec

Délai d’expiration des entrées du hachage en millisecondes.

--hashlimit-htable-gcinterval msec

Nombre de millisecondes entre chaque ramassage des déchets.

--hashlimit-rate-match

Catégoriser le flux au lieu de limiter son débit. L’action de cette option consiste à évaluer à vrai ou faux le fait que le débit est au-dessus ou en-dessous d’une certaine valeur.

--hashlimit-rate-interval sec

Combinée avec --hashlimit-rate-match , cette option permet de spécifier le pas selon lequel le débit doit être échantillonné.

Exemples :
correspondance au niveau de l’hôte source

« 1000 paquets par seconde pour chaque hôte de 192.168.0.0/16 » => -s 192.168.0.0/16 --hashlimit-mode srcip --hashlimit-upto 1000/sec

correspondance au niveau du port

« 100 paquets par seconde pour chaque service de 192.168.1.1 » => -s 192.168.1.1 --hashlimit-mode srcport --hashlimit-upto 100/sec

correspondance au niveau du sous-réseau

« 10000 paquets par minute pour chaque sous-réseau /28 (groupes de 8 adresses) de 10.0.0.0/8 » => -s 10.0.0.0/8 --hashlimit-mask 28 --hashlimit-upto 10000/min

correspondance au niveau du débit en octets par seconde

« débits excédant 512 ko/s » => --hashlimit-mode srcip,dstip,srcport,dstport --hashlimit-above 512kb/s

correspondance au niveau du débit en octets par seconde

« débits excédant512 ko/s, mais permission d’aller jusqu’à 1 Mo sans recherche de correspondance » => --hashlimit-mode dstip --hashlimit-above 512kb/s --hashlimit-burst 1mb

hbh (spécifique à IPv6)

Ce module vérifie la correspondance des paramètres de l’en-tête des options Hop-by-Hop.
[ ! ] --hbh-len taille

Taille totale de cet en-tête en octets.

--hbh-opts type [ : taille ][ , type [ : taille ]...]

Type numérique de l’option et taille des données de l’option en octets.

helper

Ce module vérifie la correspondance des paquets en relation avec un assistant de conntrack (conntrack helper) spécifique.
[ ! ] --helper chaîne

Correspond aux paquets en relation avec l’assistant de conntrack spécifié.

chaîne peut contenir « ftp » pour les paquets en relation avec une session FTP sur le port par défaut. Pour un port différent, ajoutez « --num_port » à la chaîne (par exemple, « ftp-2121 »).

Les mêmes règles s’appliquent pour les autres assistants de conntrack.

hl (spécifique à IPv6)

Ce module vérifie la correspondance du champ Hop Limit de l’en-tête IPv6.
[ ! ] --hl-eq valeur

Correspond si le champ Hop Limit contient la valeur spécifiée.

--hl-lt valeur

Correspond si la valeur contenue dans le champ Hop Limit est inférieure à valeur .

--hl-gt valeur

Correspond si la valeur contenue dans le champ Hop Limit est supérieure à valeur .

icmp (spécifique à IPv4)

Cette extension peut être utilisée si « --protocol icmp » est spécifié. Elle fournit l’option suivante :
[ ! ] --icmp-type { type [ / code ]| nom_type }

Cette option permet de spécifier le type ICMP sous la forme d’un type ICMP numérique, d’une paire type / code ou d’un des noms de type ICMP nom_type affichés par la commande
iptables -p icmp -h

icmp6 (spécifique à IPv6)

Cette extension peut être utilisée si « --protocol ipv6-icmp » ou « --protocol icmpv6 » est spécifié. Elle fournit l’option suivante :
[ ! ] --icmpv6-type type [ / code ]| nom_type

Cette option permet de spécifier le type ICMPv6 sous la forme d’un type ICMPv6 numérique, d’une paire type / code ou d’un des noms de type ICMPv6 nom_type affichés par la commande
ip6tables -p ipv6-icmp -h

iprange

Ce module vérifie la correspondance de la plage d’adresses IP arbitraire donné.
[ ! ] --src-range de [ - à ]

Correspond si l’adresse IP source appartient à la plage spécifié.

[ ! ] --dst-range de [ - à ]

Correspond si l’adresse IP destination appartient à la plage spécifié.

ipv6header (spécifique à IPv6)

Ce module vérifie la correspondance des en-têtes d’extension IPv6 et/ou l’en-tête de la couche supérieure.

--soft

Correspond si le paquet contient au moins un des en-têtes spécifiés à l’aide de l’option --header .

[ ! ] --header en-tête [ , en-tête ...]

Correspond aux paquets qui contiennent EXACTEMENT tous les en-tête s spécifiés. Les en-têtes encapsulés avec l’en-tête ESP ne sont pas concernés. Les valeurs possibles d’ en-tête sont :

hop | hop-by-hop

En-tête des options Hop-by-Hop

	dst		En-tête des options de destination
	route		En-tête de routage
	frag		En-tête de fragment
	auth		En-tête d’authentification
	esp		En-tête d’encapsulation sécurisée de la charge utile
	none		Pas d’en-tête Next, ce qui correspond à la valeur 59 dans le « champ Next Header » de l’en-tête IPv6 ou de tout en-tête d’extension IPv6.
	prot		Correspondance à n’importe quel en-tête de protocole de la couche supérieure. Un nom de protocole issu du fichier /etc/protocols ou une valeur numérique sont aussi autorisés. Le nombre 255 est équivalent à prot .

ipvs

Ce module vérifie la correspondance des propriétés de la connexion IPVS.
[ ! ] --ipvs

le paquet appartient à une connexion IPVS (IP Virtual Server — serveur IP virtuel)

Toutes les options suivantes impliquent --ipvs (même si elles sont
précédées d’une négation)
[ ! ] --vproto protocole

protocole VIP (Virtual IP) à comparer ; par numéro ou par nom, par exemple « tcp »

[ ! ] --vaddr adresse [ / masque ]

adresse VIP à comparer

[ ! ] --vport port

port VIP à comparer ; par numéro ou par nom, par exemple « http »

--vdir { ORIGINAL | REPLY }

sens de déplacement du paquet

[ ! ] --vmethod { GATE | IPIP | MASQ }

méthode de redirection IPVS utilisée

[ ! ] --vportctl port

port VIP de la connexion de contrôle à comparer, par exemple 21 pour FTP

length

Ce module permet de comparer la taille de la charge utile de la couche 3 d’un paquet (par exemple, un paquet de niveau 4) avec une valeur ou un intervalle de valeurs donnés.
[ ! ] --length taille [ : taille ]

limit

Ce module vérifie la correspondance d’un débit limité en utilisant un filtre de type « seau à jetons » (token bucket). Une règle utilisant cette extension correspondra jusqu’à ce que cette limite soit atteinte. Ce module peut être utilisé en combinaison avec l’action LOG pour fournir une journalisation limitée, par exemple.

xt_limit ne prend pas en charge la négation — pour appliquer cette dernière, vous devrez utiliser « -m hashlimit ! --hashlimit débit » tout en omettant --hashlimit-mode.
--limit débit [ /second | /minute | /hour | /day ]

Débit moyen maximal de comparaison : spécifié sous forme de nombre avec un suffixe facultatif « /second », « /minute », « /hour » ou « /day », la valeur par défaut étant 3/hour.

--limit-burst nombre

mac

[ ! ] --mac-source adresse

Cette option permet de vérifier la correspondance de l’adresse MAC source (Media Access Control). Cette dernière doit être de la forme XX:XX:XX:XX:XX:XX. Notez que cette option n’est pertinente que pour les paquets provenant d’un dispositif Ethernet et entrant dans les chaînes PREROUTING , FORWARD ou INPUT .

mark

Ce module vérifie la correspondance du champ de netfilter « mark » associé à un paquet (et qui peut être défini à l’aide de l’action MARK ci-après).
[ ! ] --mark valeur [ / masque ]

Correspond aux paquets possédant la valeur de « mark » non signée donnée (si un masque est spécifié, il est combiné à l’aide d’un ET logique avec le masque avant la comparaison).

mh (spécifique à IPv6)

Cette extension est chargée si « --protocol ipv6-mh » ou « --protocol mh » est spécifiée. Elle fournit l’option suivante :
[ ! ] --mh-type type [ : type ]

Cette option permet de spécifier le type d’en-tête de mobilité (Mobility Header — MH) sous forme d’un type de MH numérique ou d’un des noms de type de MH indiqués par la commande
ip6tables -p mh -h

multiport

Ce module vérifie la correspondance d’un ensemble de ports source ou destination. Il est possible de spécifier jusqu’à15 ports. Une plage de ports (port:port) compte pour deux ports. Ce module ne peut être utilisé qu’avec les protocoles suivants : tcp , udp , udplite , dccp et sctp .
[ ! ] --source-ports , --sports port [ , port | , port : port ]...

Correspond si le port source fait partie des ports donnés. Le drapeau --sports est un alias de commodité pour cette option. Plusieurs ports ou plages de ports sont séparés par des virgules et une plage de port est spécifié en utilisant un deux-points « : ». Par exemple, 53,1024:65535 correspondra au port 53 et à tous les ports de 1024 à 65535.

[ ! ] --destination-ports , --dports port [ , port | , port : port ]...

Correspond si le port destination fait partie des ports donnés. Le drapeau --dports est un alias de commodité pour cette option.

[ ! ] --ports port [ , port | , port : port ]...

Correspond si un des ports source ou destination est égal à un des ports donnés.

nfacct

Ce module fournit l’infrastructure de statistiques étendue pour iptables. Vous devez utiliser cette vérification de correspondance avec l’utilitaire d’espace utilisateur autonome nfacct (8).

La seule option valable pour cette vérification de correspondance est la suivante :
--nfacct-name nom

Cette option permet de spécifier le nom d’objet existant qui sera utilisé pour effectuer des statistiques sur le trafic auquel ce jeu de règles correspond.

Pour utiliser cette extension, vous devez créer un objet de statistiques :

nfacct add http-traffic

Ensuite, vous devez attacher l’extension à l’objet de statistiques à l’aide d’iptables :

iptables -I INPUT -p tcp --sport 80 -m nfacct --nfacct-name http-traffic

iptables -I OUTPUT -p tcp --dport 80 -m nfacct --nfacct-name http-traffic

Enfin, vous pouvez consulter l’intensité du trafic auquel la règle correspond :

nfacct get http-traffic

{ pkts = 00000000000000000156, bytes = 00000000000000151786 } = http-traffic;

Vous pouvez télécharger nfacct (8) depuis https://www.netfilter.org ou depuis le dépôt git.netfilter.org.

osf

Le module osf effectue une prise d’empreinte passive du système d’exploitation. Il compare certaines données (taille de fenêtre, MSS (Maximum Segment Size — taille maximale de segment), les options et leur ordre, TTL (Time To Live — durée de vie), le drapeau DF (Don’t Fragment — ne pas fragmenter), etc.) des paquets ayant le bit SYN positionné.
[ ! ] --genre chaîne

Cette option permet de vérifier la correspondance d’un genre de système d’exploitation en utilisant une prise d’empreinte passive.

--ttl niveau

Effectuer des vérifications additionnelles de durée de vie sur le paquet pour déterminer le système d’exploitation. niveau peut prendre les valeurs suivantes :

	0		Véritable comparaison des durées de vie de l’adresse IP et de l’empreinte (fonctionne en général pour les réseaux locaux).
	1		Vérifier si la durée de vie de l’en-tête IP est inférieure à celle de l’empreinte (fonctionne avec des adresses routables globalement).
	2		Ne pas comparer les durées de vie.

--log niveau

Journaliser les genres déterminés dans dmesg même s’ils ne correspondent pas au genre souhaité. niveau peut prendre une des valeurs suivantes :

	0		Journaliser toutes les signatures correspondantes ou inconnues.
	1		Journaliser seulement la première.
	2		Journaliser toutes les signatures connues correspondantes.

Vous pouvez voir apparaître quelque chose de ce genre dans syslog :

Windows [2000:SP3:Windows XP Pro SP1, 2000 SP3]: 11.22.33.55:4024 -> 11.22.33.44:139 hops=3 Linux [2.5-2.6:] : 1.2.3.4:42624 -> 1.2.3.5:22 hops=4

Les empreintes d’OS peuvent être chargées à l’aide du programme nfnl_osf . Pour charger une empreinte à partir d’un fichier, utilisez :

nfnl_osf -f /usr/share/xtables/pf.os

et pour la supprimer à nouveau,

nfnl_osf -f /usr/share/xtables/pf.os -d

La base de données des empreintes peut être téléchargée depuis http://www.openbsd.org/cgi-bin/cvsweb/src/etc/pf.os.

owner

Ce module tente de vérifier la correspondance de différentes caractéristiques du créateur du paquet, pour les paquets générés localement. Cette recherche de correspondance n’est valable que dans les chaînes OUTPUT et POSTROUTING. Les paquets redirigés n’ont pas de socket associé, à la différence des paquets en provenance des threads du noyau qui ont un socket, mais généralement pas de propriétaire.
[ ! ] --uid-owner nom_utilisateur
[ ! ] --uid-owner identifiant_utilisateur [ - identifiant_utilisateur ]

Correspond si la structure du fichier de socket du paquet (si elle existe) est la propriété de l’utilisateur donné. Vous pouvez aussi spécifier un UID numérique ou un intervalle d’UID.

[ ! ] --gid-owner nom_groupe
[ ! ] --gid-owner identifiant_groupe [ - identifiant_groupe ]

Correspond si la structure du fichier de socket du paquet est la propriété du groupe donné. Vous pouvez aussi spécifier un GID numérique ou un intervalle de GID.

--suppl-groups

Avec cette option, le(s) groupe(s) spécifié(s) à l’aide de --gid-owner sont aussi comparés avec les groupes supplémentaires d’un processus.

[ ! ] --socket-exists

Correspond si le paquet est associé à un socket.

physdev

Ce module vérifie la correspondance des dispositifs d’entrée et de sortie d’un port de pont asservis à un dispositif de pont. Ce module fait partie de l’infrastructure qui active un pare-feu IP de pontage transparent et n’est disponible que pour les versions 2.5.44 et ultérieures du noyau.
[ ! ] --physdev-in nom

Le nom d’un port de pont par lequel un paquet est reçu (seulement pour les paquets entrant dans les chaînes INPUT , FORWARD ou PREROUTING ). Si le nom de l’interface de termine par un « + », toute interface dont le nom commence par ce nom correspondra. Si le paquet n’est pas arrivé par un dispositif de pont, il ne correspondra pas aux critères de cette option, à moins que « ! » ne soit spécifié.

[ ! ] --physdev-out nom

Le nom d’un port de pont par lequel un paquet est sur le point d’être envoyé (seulement pour les paquets ayant subi un pontage et entrant dans les chaînes FORWARD et POSTROUTING ). Si le nom de l’interface de termine par un « + », toute interface dont le nom commence par ce nom correspondra.

[ ! ] --physdev-is-in

Correspond si le paquet est entré par une interface de pont.

[ ! ] --physdev-is-out

Correspond si le paquet est sur le point de sortir par une interface de pont.

[ ! ] --physdev-is-bridged

Correspond si le paquet subit un pontage et n’est donc pas routé. Utile seulement dans les chaînes FORWARD et POSTROUTING .

pkttype

Ce module vérifie la correspondance du type du paquet au niveau de la couche liaison.
[ ! ] --pkt-type { unicast | broadcast | multicast }

policy

Ce module vérifie la correspondance de la politique utilisée par IPsec pour gérer un paquet.
--dir { in | out }

Cette option permet de choisir si l’on doit vérifier la correspondance de la politique utilisée pour la désencapsulation ou la politique qui sera utilisée pour l’encapsulation. in est valable dans les chaînes PREROUTING, INPUT et FORWARD , alors que out l’est dans les chaînes POSTROUTING, OUTPUT et FORWARD .

--pol { none | ipsec }

Correspond si le paquet est traité par IPsec. --pol none ne peut pas être combiné à --strict .

--strict

Cette option permet de choisir si l’intégralité de la politique doit correspondre ou si au moins une des règles de la politique doit correspondre à la politique donnée.

Pour chaque élément de politique à décrire, il est possible d’utiliser une ou plusieurs des options suivantes. Lorsque --strict a été spécifiée, au moins une option doit être utilisée pour chaque élément.
[ ! ] --reqid identifiant

Cette option permet de vérifier la correspondance du « reqid » de la règle de la politique. Le reqid peut être spécifié à l’aide de setkey (8) en utilisant unique:id comme niveau.

[ ! ] --spi spi

Cette option permet de vérifier la correspondance du SPI (Security Parameters Index — index des paramètres de sécurité) des SA (Security Associations — associations de sécurités).

[ ! ] --proto { ah | esp | ipcomp }

Cette option permet de vérifier la correspondance du protocole d’encapsulation.

[ ! ] --mode { tunnel | transport }

Cette option permet de vérifier la correspondance du mode d’encapsulation.

[ ! ] --tunnel-src adresse [ / masque ]

Cette option permet de vérifier la correspondance de l’adresse de l’extrémité source d’une SA en mode tunnel. Valable seulement avec --mode tunnel .

[ ! ] --tunnel-dst adresse [ / masque ]

Cette option permet de vérifier la correspondance de l’adresse de l’extrémité destination d’une SA en mode tunnel. Valable seulement avec --mode tunnel .

--next

Démarrer l’élément suivant dans la spécification de la politique. Ne peut être utilisé qu’avec --strict .

quota

Ce module implémente les quotas réseau en décrémentant un compteur d’octets avec chaque paquet. La condition est vérifiée jusqu’à ce que le compteur d’octets atteigne zéro. Ce comportement peut être inversé par une négation (la condition ne sera alors vérifiée que lorsque le compteur d’octets atteindra zéro).
[ ! ] --quota octets

Le quota en octets.

rateest

L’estimateur de débit peut vérifier la correspondance des débits estimés comme ceux collectés à l’aide de l’action RATEEST. Il prend en charge la correspondance basée sur des valeurs de bps/pps absolues, la comparaison de deux estimateurs de débit et la correspondance basée sur la différence entre deux estimateurs de débit.

Pour une meilleure compréhension des options valables, voici toutes les combinaisons possibles :
Mode absolu :

	-		rateest opérateur rateest-bps
	-		rateest opérateur rateest-pps

Mode absolu + Delta :

	-		( rateest moins rateest-bps1 ) opérateur rateest-bps2
	-		( rateest moins rateest-pps1 ) opérateur rateest-pps2

Mode relatif :

	-		rateest1 opérateur rateest2 rateest-bps (sans débit !)
	-		rateest1 opérateur rateest2 rateest-pps (sans débit !)

Mode relatif + Delta :

	-		( rateest1 moins rateest-bps1 ) opérateur ( rateest2 moins rateest-bps2 )
	-		( rateest1 moins rateest-pps1 ) opérateur ( rateest2 moins rateest-pps2 )

--rateest-delta

Pour chaque estimateur (en mode relatif ou absolu), calculer la différence entre le débit du flux déterminé par l’estimateur et la valeur statique spécifiée à l’aide des options BPS/PPS. Si le débit du flux est plus élevé que la valeur spécifiée en BPS/PPS,0 sera utilisé à la place d’une valeur négative. Autrement dit, la valeur utilisée sera le résultat de « max(0, rateest#_rate - rateest#_bps) ».

[ ! ] --rateest-lt

Correspond si le débit est inférieur au débit par estimateur donné.

[ ! ] --rateest-gt

Correspond si le débit est supérieur au débit par estimateur donné.

[ ! ] --rateest-eq

Correspond si le débit est égal au débit par estimateur donné.

Dans le mode dit « mode absolu », un seul estimateur est utilisé et comparé avec une valeur statique, tandis qu’en « mode relatif », deux estimateurs de débit sont comparés avec un autre.
--rateest nom

Nom de l’unique estimateur de débit pour le mode absolu.

--rateest1 nom
--rateest2 nom

Les noms des deux estimateurs de débit pour le mode relatif.

--rateest-bps [ valeur ]
--rateest-pps [ valeur ]
--rateest-bps1 [ valeur ]
--rateest-bps2 [ valeur ]
--rateest-pps1 [ valeur ]
--rateest-pps2 [ valeur ]

Comparer avec la valeur spécifiée les valeurs fournies par le(s) estimateur(s) en octets ou paquets par seconde. Voir la liste ci-avant pour connaître les options à utiliser dans chaque cas. Il est possible d’ajouter un suffixe d’unité — les suffixes disponibles sont : bit, [kmgt]bit, [KMGT]ibit, Bps, [KMGT]Bps et [KMGT]iBps.

Exemple : voici la commande qui peut être utilisée pour router les connexions de données sortantes d’un serveur FTP sur deux lignes en fonction de la bande passante disponible au moment où la connexion a été établie :

# Estimer les débits sortants :

iptables -t mangle -A POSTROUTING -o eth0 -j RATEEST --rateest-name eth0 --rateest-interval 250ms --rateest-ewma 0.5s

iptables -t mangle -A POSTROUTING -o ppp0 -j RATEEST --rateest-name ppp0 --rateest-interval 250ms --rateest-ewma 0.5s

# Marquer en fonction de la bande passante disponible :

iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 eth0 --rateest-bps1 2.5mbit --rateest-gt --rateest2 ppp0 --rateest-bps2 2mbit -j CONNMARK --set-mark 1

iptables -t mangle -A balance -m conntrack --ctstate NEW -m helper --helper ftp -m rateest --rateest-delta --rateest1 ppp0 --rateest-bps1 2mbit --rateest-gt --rateest2 eth0 --rateest-bps2 2.5mbit -j CONNMARK --set-mark 2

iptables -t mangle -A balance -j CONNMARK --restore-mark

realm (spécifique à IPv4)

Ce module permet de vérifier la correspondance du domaine (realm) de routage. Les domaines de routage sont utilisés dans les configurations de routage complexes mettant en jeu des protocoles de routage dynamique comme BGP.
[ ! ] --realm valeur [ / masque ]

Vérifier la correspondance d’un numéro de domaine donné (accompagné éventuellement d’un masque). Au lieu d’un numéro, valeur peut être un domaine nommé issu de /etc/iproute2/rt_realms (dans ce cas, le masque n’est pas autorisé). valeur et masque sont des entiers non signés de 4 octets et peuvent être spécifiés en décimal, hexadécimal (en ajoutant le préfixe « 0x ») ou octal (en préfixant la valeur d’un zéro).

recent

Ce module permet de créer dynamiquement une liste d’adresses IP et de vérifier la correspondance de cette liste de différentes manières.

Par exemple, vous pouvez créer une liste « méchants » des gens qui tentent de se connecter au port 139 sur votre pare-feu, et supprimer ensuite tous les paquets qui proviennent de ces derniers sans les examiner.

--set , --rcheck , --update et --remove sont mutuellement exclusifs.
--name nom

Spécifier la liste à utiliser pour les commandes. Si aucun nom n’est donné, DEFAULT sera utilisé.

[ ! ] --set

Cette option permet d’ajouter l’adresse source du paquet à la liste. Si l’adresse source est déjà présente dans la liste, l’entrée concernée sera mise à jour. Cette option renvoie toujours « succès » (ou « échec » si ! est spécifié).

--rsource

Vérifier la correspondance de/sauvegarder l’adresse source de chaque paquet de la liste « recent ». Il s’agit du comportement par défaut.

--rdest

Vérifier la correspondance de/sauvegarder l’adresse destination de chaque paquet de la liste « recent ».

--mask masque_sous_réseau

Cette option permet de spécifier le masque_sous_réseau qui sera appliqué à cette liste « recent ».

[ ! ] --rcheck

Cette option permet de vérifier si l’adresse source du paquet est actuellement dans la liste.

[ ! ] --update

Identique à --rcheck , excepté que si la correspondance est vérifiée, l’horodatage « vu la dernière fois » sera mis à jour.

[ ! ] --remove

Cette option permet de vérifier si l’adresse source du paquet est actuellement dans la liste et si c’est le cas, supprimer cette adresse de la liste et la règle renverra « vrai ». Si l’adresse n’est pas trouvée, la règle renverra « faux ».

--seconds secondes

Cette option doit être utilisée en combinaison avec une des options --rcheck ou --update . Lorsqu’elle est utilisée, la correspondance ne sera vérifiée que si l’adresse est dans la liste et si elle a été vue au cours du dernier nombre de secondes donné.

--reap

Cette option ne peut être utilisée qu’en combinaison avec l’option --seconds . Lorsqu’elle est utilisée, les entrées plus anciennes que le nombre de secondes donné seront vidées.

--hitcount correspondances

Cette option ne peut être utilisée qu’en combinaison avec les options --rcheck ou --update . Lorsqu’elle est utilisée, la correspondance ne sera vérifiée que si l’adresse est dans la liste et si les paquets ont été interceptés un nombre de fois supérieur ou égal à la valeur donnée. Elle peut être utilisée en combinaison avec l’option --seconds pour créer une condition de correspondance encore plus restrictive nécessitant un certain nombre d’interceptions dans un certain intervalle de temps.

--rttl

Cette option ne peut être utilisée qu’en combinaison avec une des options --rcheck ou --update . Lorsqu’elle est utilisée, la correspondance ne sera vérifiée que si l’adresse est dans la liste et si la durée de vie du paquet actuel correspond à celle du paquet qui correspondait à la règle --set . Elle peut s’avérer utile si vous rencontrer des problèmes avec des gens qui contrefont leur adresse source pour effectuer une attaque de type DoS à l’aide de ce module dans le but d’empêcher les autres utilisateurs d’accéder à votre site en vous envoyant des paquets bogués.

Exemples :

iptables -A FORWARD -m recent --name méchant --rcheck --seconds 60 -j DROP

iptables -A FORWARD -p tcp -i eth0 --dport 139 -m recent --name méchant --set -j DROP

/proc/net/xt_recent/* correspond aux listes actuelles d’adresses et d’informations à propos de chaque entrée de chaque liste.

Chaque fichier dans /proc/net/xt_recent/ peut être consulté pour déterminer la liste actuelle ou écrit en utilisant les commandes suivantes pour modifier la liste :
echo + adresse >/proc/net/xt_recent/DEFAULT

pour ajouter adresse à la liste DEFAULT

echo - adresse >/proc/net/xt_recent/DEFAULT

pour supprimer adresse de la liste DEFAULT

echo / >/proc/net/xt_recent/DEFAULT

pour vider la liste DEFAULT (en supprimer toutes les entrées).

Le module lui-même accepte les paramètres suivants (avec leur valeur par défaut) :
ip_list_tot = 100

Nombre d’adresses mémorisées par table.

ip_pkt_list_tot = 0

Le nombre de paquets par adresse mémorisée. Ce paramètre est obsolète depuis la version 3.19 du noyau à partir de laquelle la taille de la table est calculée en fonction de la valeur de l’option --hitcount spécifiée.

ip_list_hash_size = 0

Taille de la table de hachage. 0 signifie que cette taille doit être calculée en fonction de ip_list_tot en arrondissant ce dernier à la puissance de deux immédiatement supérieure (si ip_list_tot possède sa valeur par défaut 100 , ip_list_hash_size prendra la valeur 128 par défaut).

ip_list_perms = 0644

Permissions des fichiers /proc/net/xt_recent/* .

ip_list_uid = 0

UID numérique du propriétaire des fichiers /proc/net/xt_recent/* .

ip_list_gid = 0

GID numérique du propriétaire des fichiers /proc/net/xt_recent/* .

rpfilter

Ce module effectue un test par filtrage par chemin inverse sur un paquet. Si la réponse à un paquet devrait être envoyée par la même interface que celle par laquelle il est arrivé, le paquet correspondra. Notez qu’à la différence du filtrage par chemin inverse (rp_filter) intégré au noyau, les paquets protégés par IPSec ne font pas l’objet d’un traitement particulier. Si tel est votre souhait, combinez cette vérification de correspondance avec celle du module « policy ». De même, les paquets arrivant par l’interface loopback sont toujours autorisés. Cette vérification de correspondance ne peut être utilisée que dans la chaîne PREROUTING des tables raw ou mangle.
--loose

Cette option permet de spécifier que le test de filtrage par chemin inverse doit réussir même si le dispositif de sortie sélectionné n’est pas celui attendu.

--validmark

Utiliser aussi la valeur de « nfmark » du paquet lors de la détermination de la route du chemin inverse.

--accept-local

Cette option permet d’accepter les paquets arrivant du réseau avec une adresse source qui est aussi assignée à la machine locale.

--invert

Cette option permet d’inverser le résultat de la vérification de correspondance. Cette dernière sera positive pour les paquets qui ont échoué au test de filtrage par chemin inverse au lieu de l’être pour ceux qui ont réussi le test.

L’exemple suivant montre comment journaliser et supprimer les paquets qui échouent au test de filtrage par chemin inverse :

iptables -t raw -N RPFILTER

iptables -t raw -A RPFILTER -m rpfilter -j RETURN

iptables -t raw -A RPFILTER -m limit --limit 10/minute -j NFLOG --nflog-prefix "rpfilter drop"

iptables -t raw -A RPFILTER -j DROP

iptables -t raw -A PREROUTING -j RPFILTER

L’exemple suivant montre comment supprimer les paquets qui ont échoué, sans journalisation :

iptables -t raw -A RPFILTER -m rpfilter --invert -j DROP

rt (spécifique à IPv6)

Ce module permet de vérifier la correspondance de l’en-tête de routage IPv6.
[ ! ] --rt-type type

Cette option permet de vérifier la correspondance du type (numérique).

[ ! ] --rt-segsleft numéro [ : numéro ]

Cette option permet de vérifier la correspondance du champ « segments restants » (intervalle).

[ ! ] --rt-len taille

Cette option permet de vérifier la correspondance de la taille de cet en-tête.

--rt-0-res

Vérifier aussi la correspondance du champ réservé (type=0).

--rt-0-addrs adresse [ , adresse ...]

Cette option permet de vérifier la correspondance des adresses type=0 (liste).

--rt-0-not-strict

Cette option permet d’indiquer que la liste d’adresses type=0 n’est pas une liste stricte.

sctp

Ce module permet de vérifier la correspondance des en-têtes du SCTP (Stream Control Transmission Protocol — protocole de transmission avec contrôle de flux).
[ ! ] --source-port , --sport port [ : port ]
[ ! ] --destination-port , --dport port [ : port ]
[ ! ] --chunk-types { all | any | only } type_fragment [ : drapeaux ] [...]

Si la lettre de drapeau est en capitale, le drapeau doit être comparé s’il est défini, sinon le drapeau doit être comparé s’il n’est pas défini.

Types de vérification de correspondance :

	all		Correspondance si tous les types de fragment donnés sont présents et si les drapeaux correspondent.
	any		Correspondance si au moins un des types de fragment donnés est présent avec les drapeaux donnés.
	only		Correspondance si seuls les types de fragment donnés sont présents avec les drapeaux donnés et si aucun ne manque.

Types de fragment : DATA, INIT, INIT_ACK, SACK, HEARTBEAT, HEARTBEAT_ACK, ABORT, SHUTDOWN, SHUTDOWN_ACK, ERROR, COOKIE_ECHO, COOKIE_ACK, ECN_ECNE, ECN_CWR, SHUTDOWN_COMPLETE, I_DATA, RE_CONFIG, PAD, ASCONF, ASCONF_ACK FORWARD_TSN et I_FORWARD_TSN.

drapeaux de type de fragment disponibles
DATA I U B E i u b e
I_DATA I U B E i u b e
ABORT T t
SHUTDOWN_COMPLETE T t

Les minuscules signifient que le drapeau doit être à « off », les capitales que le drapeau doit être à « on ».

Exemples :

iptables -A INPUT -p sctp --dport 80 -j DROP

iptables -A INPUT -p sctp --chunk-types any DATA,INIT -j DROP

iptables -A INPUT -p sctp --chunk-types any DATA:Be -j ACCEPT

set

Ce module permet de vérifier la correspondance d’ensembles d’adresses IP qui peuvent être définis à l’aide de ipset (8).
[ ! ] --match-set nom_ensemble drapeau [ , drapeau ]...

où drapeau [ , drapeau ]... est une liste de spécifications src et/ou dst séparées par des virgules et dont le nombre est limité à 6. Ainsi la règle

iptables -A FORWARD -m set --match-set test src,dst

correspondra aux paquets pour lesquels (si le type d’ensemble est ipportmap) la paire adresse source/port destination existe dans l’ensemble spécifié. Si le type d’ensemble de l’ensemble spécifié est unidimensionnel (par exemple ipmap), la règle correspondra aux paquets pour lesquels l’adresse source existe dans l’ensemble spécifié.

--return-nomatch

Si l’option --return-nomatch est spécifiée et si le type d’ensemble prend en charge le drapeau nomatch , la vérification de correspondance est inversée ; une correspondance vérifiée avec un élément ayant le drapeau nomatch activé renverra true , alors qu’une correspondance vérifiée avec un élément simple reverra false .

! --update-counters

Si le drapeau --update-counters est inversé par négation, les compteurs d’octets et de paquets de l’élément qui correspond dans l’ensemble ne seront pas mis à jour. Par défaut, compteurs d’octets et de paquets sont mis à jour.

! --update-subcounters

Si le drapeau --update-subcounters est inversé par négation, les compteurs d’octets et de paquets de l’élément qui correspond dans l’ensemble des membres d’un type de liste d’ensemble ne seront pas mis à jour. Par défaut, compteurs d’octets et de paquets sont mis à jour.

[ ! ] --packets-eq valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur de paquets de l’élément est égale à la valeur donnée.

--packets-lt valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur de paquets de l’élément est inférieure à la valeur donnée.

--packets-gt valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur de paquets de l’élément est supérieure à la valeur donnée.

[ ! ] --bytes-eq valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur d’octets est égale à la valeur donnée.

--bytes-lt valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur d’octets de l’élément est inférieure à la valeur donnée.

--bytes-gt valeur

Si le paquet correspond à un élément de l’ensemble, la correspondance ne sera vérifiée que si en plus la valeur du compteur d’octets de l’élément est supérieure à la valeur donnée.

Les drapeaux et options en rapport avec les compteurs de paquets et d’octets sont ignorés lorsque l’ensemble a été défini sans prise en charge du comptage.

L’option --match-set peut être remplacée par --set si cela n’interfère pas avec une option d’une autre extension.

L’utilisation de « -m set » nécessite que le noyau prenne en charge le module ipset, ce qui est le cas, pour les noyaux standards, depuis Linux 2.6.39.

socket

Ce module permet de vérifier la correspondance d’un paquet s’il est possible de trouver un socket TCP/UDP ouvert en effectuant une recherche de socket sur ce paquet. La correspondance est vérifiée s’il existe un socket en écoute établi ou à lien non nul (éventuellement avec une adresse non locale). La recherche est effectuée en utilisant le tuple packet des paquets TCP/UDP ou l’en-tête TCP/UDP original embedded dans un paquet d’erreur ICMP/ICPMv6.
--transparent

Ignorer les sockets non transparents.

--nowildcard

Ne pas ignorer les sockets liés à « n’importe quelle » adresse. Par défaut, la correspondance de socket n’acceptera pas de socket en écoute non lié, car dans ce cas, des services locaux pourraient intercepter le trafic qui autrement aurait été redirigé. Cette option présente donc des implications de sécurité lorsqu’elle est utilisée pour vérifier la correspondance d’un trafic redirigé pour renvoyer de tels paquets à la machine locale avec routage de politique. Lorsqu’on utilise la correspondance de socket pour implémenter des mandataires complètement transparents liés à des adresses non locales, il est recommandé d’utiliser plutôt l’option --transparent .

Exemple (en supposant que les paquets marqués 1 sont délivrés localement) :

-t mangle -A PREROUTING -m socket --transparent -j MARK --set-mark 1

--restore-skmark

Cette option permet de définir la marque du paquet avec la marque du socket correspondant. Elle peut être utilisée en combinaison avec les options --transparent et --nowildcard pour restreindre la correspondance des sockets au cas où la marque du paquet est restaurée.

Exemple : une application ouvre 2 sockets transparents ( IP_TRANSPARENT ) et leur définit une marque à l’aide de l’option de socket SO_MARK . Nous pouvons filtrer les paquets correspondants :

-t mangle -I PREROUTING -m socket --transparent --restore-skmark -j action

-t mangle -A action -m mark --mark 10 -j action2

-t mangle -A action -m mark --mark 11 -j action3

état

L’extension « state » est un sous-ensemble du module « conntrack ». Elle permet d’accéder à l’état du traçage de connexion pour le paquet concerné.
[ ! ] --state état

état est une liste des états de connexion à comparer séparés par des virgules. Seulement ce sous-ensemble des états pris en charge par « conntrack » est reconnu : INVALID , ESTABLISHED , NEW , RELATED ou UNTRACKED . Pour leur description, voir la section « conntrack » plus avant dans cette page de manuel.

statistic

Ce module vérifie la correspondance des paquets en fonction de certaines conditions statistiques. Il prend en charge deux modes distincts qui peuvent être définis à l’aide de l’option --mode .

Options prises en charge :
--mode mode

Cette option permet de définir le mode de vérification de correspondance de la règle ; les modes pris en charge sont random et nth .

[ ! ] --probability p

Cette option permet de définir la probabilité pour qu’un paquet corresponde de manière aléatoire. Elle ne peut être utilisée que dans le mode random . p doit être comprise entre 0.0 et 1.0. La granularité prise en charge possède un incrément de 1/2147483648.

[ ! ] --every n

Vérifier la correspondance d’un paquet sur n . Cette option ne peut être utilisée que dans le mode nth (voir aussi l’option --packet ).

--packet p

Cette option permet de définir la valeur initiale du compteur pour le mode nth (0 <= p <= n-1, par défaut 0).

string

Ce module vérifie la correspondance de la chaîne donnée en utilisant une stratégie de comparaison de motifs. Il nécessite un noyau Linux de version supérieure ou égale à 2.6.14.
--algo { bm | kmp }

Cette option permet de sélectionner une stratégie de comparaison de motifs (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris).

--from décalage

Cette option permet de définir le décalage à partir duquel la comparaison sera effectuée. La valeur par défaut est 0.

--to décalage

Cette option permet de définir le nombre d’octets, à partir de l’octet 0 qui seront comparés. Autrement dit, décalage (compté à partir de 0) sera le numéro du dernier octet à être comparé et la position maximale du dernier caractère du motif . La valeur par défaut est la taille du paquet.

[ ! ] --string motif

Cette option permet de spécifier le motif à comparer.

[ ! ] --hex-string motif

Cette option permet de spécifier le motif à comparer en notation hexadécimale.

--icase

Ignorer la casse lors de la comparaison.

Exemples :

# Le motif peut contenir du texte simple.
iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string ’GET /index.html’ -j LOG

# Le motif en notation hexadécimale peut contenir des caractères non imprimables comme |0D 0A| ou |0D0A|.
iptables -p udp --dport 53 -m string --algo bm --from 40 --to 57 --hex-string ’|03|www|09|netfilter|03|org|00|’

Nota : étant donné que l’algorithme Boyer-Moore (BM) effectue sa comparaison de la droite vers la gauche, et que le noyau peut stocker un paquet sous forme de plusieurs blocs non contigus, il est possible qu’une comparaison soit répartie sur plusieurs blocs, auquel cas cet algorithme ne le trouvera pas.

Pour vous assurer qu’une telle situation ne se présente jamais, utilisez plutôt l’algorithme Knuth-Pratt-Morris (KMP). Pour résumer, choisissez l’algorithme de recherche de chaîne approprié à votre cas concret.

Par exemple, si vous utilisez le module pour le filtrage, NIDS ou tout filtrage similaire axé sur la sécurité, choisissez KMP. Par contre, si vous recherchez la performance — par exemple, si vous classez les paquets pour appliquer des politiques de qualité de service (QoS) — et si vous ne vous préoccupez pas de la perte éventuelle de paquets correspondants divisés en plusieurs fragments, choisissez BM.

tcp

Ce module ne peut être utilisé que si « --protocol tcp » a été spécifié. Il prend en charge les options suivantes :
[ ! ] --source-port , --sport port [ : port ]

Cette option permet de spécifier le port ou une plage de ports source. port peut être un nom de service ou un numéro de port. Il est aussi possible de spécifier une plage fermée de ports sous la forme premier : dernier . Si premier est omis, la plage débutera à « 0 » ; si dernier est omis, la plage finira à « 65535 ». --sport est un alias pratique de cette option.

[ ! ] --destination-port , --dport port [ : port ]

Cette option permet de spécifier le port ou une plage de ports destination. --dport est un alias pratique de cette option.

[ ! ] --tcp-flags masque comp

Correspondance lorsque les drapeaux TCP sont tels que spécifiés. Le premier argument masque contient les drapeaux qui doivent être examinés, sous forme d’une liste séparée par des virgules ; le second argument comp est une liste des drapeaux séparés par des virgules qui doit être définie. Les drapeaux valables sont : SYN ACK FIN RST URG PSH ALL NONE . Ainsi la commande
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
ne concernera que les paquets dont le drapeau SYN est défini et dont les drapeaux ACK, FIN et RST ne le sont pas.

[ ! ] --syn

Correspondance uniquement aux paquets dont le bit SYN est positionné et dont les bits ACK, RST et FIN ne le sont pas. De tels paquets sont utilisés pour demander l’ouverture d’une connexion TCP ; par exemple, bloquer de tels paquets entrant par une interface empêchera les connexions TCP entrantes, alors que les connexions TCP sortantes ne seront pas affectées. Cette option est équivalente à --tcp-flags SYN,RST,ACK,FIN SYN .

[ ! ] --tcp-option numéro

Correspondance si l’option TCP est définie.

tcpmss

Ce module permet de vérifier la correspondance du champ TCP MSS (Maximum Segment Size — taille maximale de segment) de l’en-tête TCP. Il ne peut être utilisé qu’avec les paquets TCP SYN ou SYN/ACK, car la MSS n’est négociée que durant la « poignée de main » TCP au moment du lancement de la connexion.
[ ! ] --mss valeur [ : valeur ]

Cette option permet de vérifier la correspondance d’une valeur ou d’un intervalle de valeurs de TCP MSS. Si un intervalle est spécifié, la seconde valeur doit être supérieure ou égale à la première.

time

Ce module permet de vérifier la correspondance du moment d’arrivée d’un paquet avec un intervalle de temps donné. Toutes les options sont facultatives, mais elles sont combinées avec un ET logique si elles sont présentes. Tous les temps sont interprétés en UTC par défaut.
--datestart AAAA [ - MM [ - JJ [ T hh [ : mm [ : ss ]]]]]
--datestop AAAA [ - MM [ - JJ [ T hh [ : mm [ : ss ]]]]]

Ces options permettent de spécifier un intervalle de temps, exprimé en notation « T » de la norme ISO 8601, pendant lequel la correspondance d’un paquet sera vérifiée. L’intervalle de temps maximal est 1970-01-01T00:00:00 à 2038-01-19T04:17:07.

Si --datestart ou --datestop ne sont pas spécifiés, leur valeur par défaut sera 1970-01-01 et 2038-01-19, respectivement.

--timestart hh : mm [ : ss ]
--timestop hh : mm [ : ss ]

Ces options permettent de spécifier un intervalle de temps journalier pendant lequel la correspondance d’un paquet sera vérifiée. L’intervalle de temps maximal est 00:00:00 à 23:59:59. Les valeurs commençant par zéro sont autorisées (comme « 06:03 ») et correctement interprétées en base 10.

[ ! ] --monthdays jour [ , jour ...]

Cette option permet de spécifier les jours du mois au cours desquels la correspondance d’un paquet sera vérifiée. Les valeurs possibles vont de 1 à 31 . Notez que spécifier 31 ne correspondra pas pour les mois qui n’ont pas de 31ème jour ; même remarque pour les mois de février à 28 ou 29 jours.

[ ! ] --weekdays jour [ , jour ...]

Cette option permet de spécifier les jours de la semaine au cours desquels la correspondance d’un paquet sera vérifiée. Les valeurs possibles sont Mon , Tue , Wed , Thu , Fri , Sat et Sun ou des nombres de 1 à 7 , respectivement. Vous pouvez aussi utiliser des variantes à deux caractères ( Mo , Tu , etc.).

--contiguous

Lorsque --timestop est inférieur à --timestart , considérer cela comme un simple intervalle et non comme des intervalles distincts pour la comparaison. Voir EXEMPLES.

--kerneltz

Utiliser la zone horaire du noyau au lieu d’UTC pour déterminer si un paquet correspond aux contraintes de temps.

À propos des zone horaires du noyau : Linux conserve systématiquement l’heure système en UTC. Au démarrage, l’heure système est initialisée à partir d’une source de temps de référence. Lorsque cette source de temps n’a pas d’informations à propos de la zone horaire, comme l’horloge CMOS RTC d’x86, la zone UTC sera présumée. Si la source de temps n’est pas en UTC, l’espace utilisateur devra fournir l’heure système et la zone horaire correctes au noyau lorsqu’il aura obtenu cette information.

L’heure locale est une fonctionnalité qui s’ajoute à l’heure système (indépendante de la zone horaire). Chaque processus possède sa propre idée du temps local défini à l’aide de la variable d’environnement TZ . Le noyau possède aussi sa propre variable exprimant le décalage de la zone horaire. La variable d’environnement en espace utilisateur TZ spécifie comment l’heure système basée sur UTC est affichée, par exemple lorsque vous exécutez date (1) ou ce qu’affiche votre horloge de bureau. La chaîne TZ peut présenter des décalages différents en fonction de la date, ce qui provoque un saut de temps automatique dans l’espace utilisateur lorsque le DST (Daylight Saving Time — heure d’été) change. La variable du noyau exprimant le décalage de la zone horaire lui permet de convertir des temps en provenance de sources non UTC, comme les systèmes de fichiers FAT, vers des temps UTC (car c’est ces derniers qu’utilise le reste du système).

Le problème avec la zone horaire du noyau réside dans le fait que les distributions Linux peuvent ignorer la définition de la zone horaire du noyau et ne définir que l’heure système. Même si une distribution particulière définit la zone horaire au démarrage, elle ne maintient en général pas à jour le décalage de la zone horaire du noyau qui change avec l’heure d’été. ntpd (8) n’affectant pas la zone horaire du noyau, il est inutile de l’exécuter pour résoudre ce problème. Ainsi, il est possible d’avoir une zone horaire toujours égale à +0000 ou fausse pendant la moitié de l’année ; c’est pourquoi l’utilisation de --kerneltz est fortement déconseillée .

EXEMPLES. Pour que les paquets correspondent pendant les weekends, utilisez :

-m time --weekdays Sa,Su

Ou, pour que les paquets correspondent (une seule fois) pendant une période de vacances nationales :

-m time --datestart 2007-12-24 --datestop 2007-12-27

Comme l’heure de fin est exactement inclusive, vous devez utiliser le moment de fin suivant pour exclure de la correspondance la première seconde du jour suivant :

-m time --datestart 2007-01-01T17:00 --datestop 2007-01-01T23:59:59

Pendant la pause déjeuner :

-m time --timestart 12:30 --timestop 13:30

Le quatrième vendredi du mois :

-m time --weekdays Fr --monthdays 22,23,24,25,26,27,28

Notez que cet exemple exploite une certaine propriété mathématique. Il n’est pas possible d’exprimer « quatrième jeudi OU quatrième vendredi » à l’aide d’une seule règle ; il est cependant possible de le faire à l’aide de plusieurs règles.

Vérifier une correspondance à cheval sur deux jours peut donner des résultats inattendus. Par exemple,

« -m time --weekdays Mo --timestart 23:00 --timestop 01:00 » correspondra à la période du lundi pendant une heure de minuit à 1 heure du matin et pendant une autre heure à partir de 23 heures. Si ce n’est pas ce que vous souhaitez, par exemple si vous voulez « vérifier la correspondance pendant deux heures à partir du lundi à 23 heures », vous devez ajouter l’option --contiguous dans cet exemple.

tos

Ce module vérifie la correspondance du champ sur 8 bits « Type of Service » de l’en-tête IPv4 (bits « Precedence » inclus) ou du champ « Priority » (aussi sur 8 bits) de l’en-tête IPv6.
[ ! ] --tos valeur [ / masque ]

Cette option permet de vérifier la correspondance des paquets avec la valeur de marque TOS donnée. Si un masque est spécifié, il est combiné à l’aide d’un ET logique avec la marque TOS avant la comparaison.

[ ! ] --tos symbole

Vous pouvez aussi spécifier un nom symbolique lors de la recherche de correspondance à l’aide du module tos pour IPv4. La liste des noms TOS reconnus peut être obtenue en appelant iptables suivi de -m tos -h . Notez que cela implique un masque de 0x3F, c’est-à-dire tous les bits sauf les bits ECN (Explicit Congestion Notification — notification explicite de congestion).

ttl (spécifique à IPv4)

Ce module vérifie la correspondance du champ durée de vie de l’en-tête IP.
[ ! ] --ttl-eq ttl

Correspondance de la valeur de TTL donnée.

--ttl-gt ttl

Correspondance si la durée de vie du paquet est supérieure à la valeur de TTL donnée.

--ttl-lt ttl

Correspondance si la durée de vie du paquet est inférieure à la valeur de TTL donnée.

u32

Ce module teste si des quantités de4 octets maximum extraites d’un paquet possèdent les valeurs spécifiées. Spécifier ce qu’il faut extraire suffit en général pour trouver des données à des décalages donnés dans les en-têtes tcp ou les charges utiles.
[ ! ] --u32 tests

L’argument consiste en un programme dans un langage simple décrit ci-après.

tests := emplacement "=" valeur | tests "&&" emplacement "=" valeur

valeur := intervalle | valeur "," intervalle

intervalle := nombre | nombre ":" nombre

un nombre seul, n , est interprété comme n:n . n:m est interprété comme l’intervalle des nombres >=n et <=m .

	emplacement := nombre \| emplacement opérateur nombre
	opérateur := "&" \| "<<" \| ">>" \| "@"

Les opérateurs & , << , >> et && ont la même signification qu’en C. L’opérateur = est réellement un opérateur d’appartenance à un ensemble et la syntaxe des valeurs décrit un ensemble. L’opérateur @ permet de se déplacer vers l’en-tête suivant et est décrit plus loin.

Il existe actuellement des limites d’implémentation artificielles sur la taille des tests :

	–		pas plus de 10 « = » (et 9 « && ») dans l’argument d’u32
	–		pas plus de 10 intervalles (et 9 virgules) par valeur
	–		pas plus de 10 nombres (et 9 opérateurs) par emplacement

Pour expliquer la signification d’un emplacement, imaginez la machine suivante qui l’interprète. Il y a trois registres :

A est de type char * , initialement l’adresse de l’en-tête IP

B et C sont des entiers non signés sur 32 bits, initialement égaux à 0.

Les instructions sont :

nombre

B = nombre;

C = (*(A+B)<<24) + (*(A+B+1)<<16) + (*(A+B+2)<<8) + *(A+B+3)

&nombre

C = C & nombre

<< nombre

C = C << nombre

>> nombre

C = C >> nombre

@nombre

A = A + C ; puis exécutez l’instruction nombre

Tout accès à la mémoire en dehors de [skb->data,skb->end] fera échouer la recherche de correspondance. Sinon, le résultat du calcul est la valeur finale de C.

Les blancs sont autorisés mais non obligatoires dans les tests. Cependant, les caractères présents dans ces derniers sont susceptibles de nécessiter une protection vis-à-vis de l’interpréteur de commande, et il est donc recommandé d’entourer les arguments de guillemets.

Exemple :

rechercher les paquets IP d’une taille totale supérieure ou égale à 256 octets.

L’en-tête IP contient un champ longueur totale dans les octets 2 et 3.

--u32 " 0 & 0xFFFF = 0x100:0xFFFF "

lire les octets 0 à 3

les combiner à l’aide d’un ET logique avec 0xFFFF (ce qui donne les octets 2 et 3) et vérifie si le résultat est dans la plage [0x100:0xFFFF].

Exemple plus réaliste, donc plus compliqué :

rechercher les paquets avec un icmp de type 0

Tout d’abord, vérifier s’il s’agit d’un paquet ICMP ; c’est le cas si l’octet 9 (protocole) est égal à 1.

--u32 " 6 & 0xFF = 1 && ...

lire les octets 6 à 9, utiliser l’opérateur & pour supprimer les octets 6 à 8 et comparer le résultat avec 1. Vérifier ensuite qu’il ne s’agit pas d’un fragment (si c’est le cas, il pourra appartenir à un tel paquet, mais ce n’est pas systématique). Notez que ce test est en général nécessaire si vous voulez vérifier la correspondance de toute donnée au delà de l’en-tête IP. S’il s’agit d’un paquet complet (et non d’un fragment), les 6 derniers bits de l’octet 6 et tous ceux de l’octet 7 seront à 0. Autrement, vous pouvez autoriser les premiers fragments en ne testant que les 5 derniers bits de l’octet 6.

... 4 & 0x3FFF = 0 && ...

Dernier test : le premier octet après l’en-tête IP (le type) est à 0. C’est ici que nous devons utiliser l’opérateur « @ ». La taille de l’en-tête IP (IHL) en mots de 32 bits est stockée dans la moitié droite de l’octet 0 de l’en-tête IP lui-même.

... 0 >> 22 & 0x3C @ 0 >> 24 = 0 "

Le premier 0 signifie « lire les octets 0 à 3 », et >>22 « décaler le résultat de 22 bits vers la droite. Un décalage de 24 bits donnerait le premier octet ; donc un décalage de seulement 22 bits correspond à quatre fois cela plus quelques octets supplémentaires. Ensuite, &3C élimine les deux bits supplémentaires à droite et les quatre premiers bits du premier octet. Par exemple, si IHL=5, la taille de l’en-tête IP est de 20 (4 x 5) octets. Dans notre cas, les octets 0 et 1 contiennent (en binaire) xxxx0101 yyzzzzzz, >>22 donne la valeur sur 10 bits xxxx0101yy et &3C donne 010100. @ indique qu’il faut utiliser ce nombre comme nouveau décalage dans le paquet et lire quatre octets à partir de cette nouvelle position. Ce sont les 4 premiers octets de la charge utile ICMP dont l’octet 0 correspond au type ICMP. Il ne nous reste donc qu’à décaler la valeur de 24 vers la droite pour tout éliminer, sauf le premier octet, et à comparer le résultat à 0.

Exemple :

Les octets 8 à 12 de la charge utile TCP ont pour valeur 1, 2, 5 ou 8.

Tout d’abord, vérifier qu’il s’agit d’un paquet TCP (similaire à ICMP).

--u32 " 6 & 0xFF = 6 && ...

Ensuite, vérifier qu’il ne s’agit pas d’un fragment (comme ci-avant).

... 0 >> 22 & 0x3C @ 12 >> 26 & 0x3C @ 8 = 1,2,5,8 "

Comme ci-avant, 0>>22&3C calcule le nombre d’octets contenus dans l’en-tête IP. L’opérateur @ fait du résultat le nouveau décalage dans le paquet qui correspond au début de l’en-tête TCP. La taille de l’en-tête TCP (toujours en mots de 32 bits) est stockée dans la moitié gauche de l’octet 12 de l’en-tête TCP. 12>>26&3C convertit cette longueur en octets (comme précédemment pour l’en-tête IP). « @ » fait du résultat le nouveau décalage qui correspond au début de la charge utile TCP. Enfin, « 8 » lit les octets 8 à 12 de la charge utile et = vérifie si le résultat est égal à 1, 2, 5 ou 8.

udp

Ce module ne peut être utilisé que si l’option « --protocol udp » est spécifiée. Il prend en charge les options suivantes :
[ ! ] --source-port , --sport port [ : port ]

Cette option permet de spécifier le port ou la plage de ports source. Voir la description de l’option --source-port de l’extension TCP pour les détails.

[ ! ] --destination-port , --dport port [ : port ]

Cette option permet de spécifier le port ou la plage de ports destination. Voir la description de l’option --destination-port de l’extension TCP pour les détails.

ACTIONS ÉTENDUES

iptables peut utiliser des modules d’action étendue ; les actions suivantes sont incluses dans la distribution standard :

AUDIT

Cette action crée des enregistrements d’audit pour les paquets qui l’atteignent. Elle permet d’enregistrer les paquets acceptés, éliminés et rejetés. Voir auditd (8) pour plus de détails.
--type { accept | drop | reject }

Cette option permet de définir le type d’enregistrement d’audit. À partir de Linux 4.12, cette option n’a plus d’effet sur les messages d’audit générés. Elle est encore acceptée par iptables pour des raisons de compatibilité, mais ignorée.

Exemple :

iptables -N AUDIT_DROP

iptables -A AUDIT_DROP -j AUDIT

iptables -A AUDIT_DROP -j DROP

CHECKSUM

Cette action contourne sélectivement les applications défectueuses ou obsolètes. Elle ne peut être utilisée que dans la table mangle .
--checksum-fill

Cette option permet de calculer et inscrire la somme de contrôle dans un paquet qui en est dépourvu. Elle s’avère particulièrement utile si vous devez contourner des applications anciennes comme les clients dhcp qui ne gèrent pas bien les déchargements de somme de contrôle, et ne souhaitez pas désactiver le déchargement de somme de contrôle dans votre dispositif.

CLASSIFY

Cette action permet de définir la valeur de skb->priority, et ainsi ranger le paquet dans une classe CBQ (Class-Based Queuing — mise en file d’attente en fonction de la classe) spécifique.
--set-class majeur : mineur

Cette option permet de définir les valeurs majeure et mineure de la classe. Les valeurs sont toujours interprétées en hexadécimal, même si le préfixe 0x n’est pas spécifié.

CLUSTERIP (spécifique à IPv4)

Cette action permet de configurer une grappe simple de nœuds qui partagent une adresse IP et MAC sans répartiteur de charge explicite en frontal. Les connexions sont réparties statistiquement entre les nœuds de cette grappe.

Notez que l’action CLUSTERIP est considérée comme obsolète par rapport au module de correspondance cluster qui est plus souple et non limité à IPv4.

--new

Cette option permet de créer un nouveau ClusterIP. Vous devez toujours la définir dans la première règle concernant un ClusterIP donné.

--hashmode mode

Cette option permet de spécifier le mode de hachage. Les valeurs possibles sont sourceip , sourceip-sourceport ou sourceip-sourceport-destport .

--clustermac mac

Cette option permet de spécifier l’adresse MAC du ClusterIP. Ce doit être une adresse multicast de la couche liaison.

--total-nodes nombre

Cette option permet de spécifier le nombre total de nœuds que comporte cette grappe.

--local-node numéro

Cette option permet de spécifier le numéro de nœud de la machine locale au sein de cette grappe.

--hash-init aléa

Cette option permet de spécifier la graine aléatoire utilisée pour l’initialisation du hachage.

CONNMARK

Cette action définit la valeur (sur 32 bits) de la marque netfilter associée à une connexion.
--set-xmark valeur [ / masque ]

Cette option met à zéro les bits donnés par masque et effectue un XOR entre la ctmark (marque de connexion) et la valeur .

--save-mark [ --nfmask masque_nf ] [ --ctmask masque_ct ]

Cette option copie la marque de paquet (nfmark) vers la marque de connexion (ctmark) en utilisant les masques donnés. La nouvelle valeur de la marque de paquet nfmark est déterminée comme suit :

ctmark = (ctmark & ~ctmask) ^ (nfmark & nfmask)

Autrement dit, masque_ct détermine les bits à mettre à zéro et masque_nf les bits de nfmark à combiner à l’aide d’un XOR avec la ctmark. La valeur par défaut de masque_ct et masque_nf est 0xFFFFFFFF.

--restore-mark [ --nfmask masque_nf ] [ --ctmask masque_ct ]

Cette option copie la marque de connexion (ctmark) vers la marque de paquet (nfmark) en utilisant les masques donnés. La nouvelle valeur de ctmark est déterminée comme suit :

nfmark = (nfmark & ~ nfmask ) ^ (ctmark & ctmask );

Autrement dit, masque_nf détermine les bits à mettre à zéro et masque_ct les bits de ctmark à combiner à l’aide d’un XOR avec la nfmark. La valeur par défaut de masque_ct et masque_nf est 0xFFFFFFFF.

--restore-mark ne peut être utilisée que dans la table mangle .

Les mnémoniques valables pour --set-xmark sont les suivants :
--and-mark bits

Effectuer un ET logique entre la ctmark et bits (le mnémonique pour --set-xmark 0/ invbits où invbits est la négation binaire de bits ).

--or-mark bits

Effectuer un OU logique entre la ctmark et bits (le mnémonique pour --set-xmark bits / bits ).

--xor-mark bits

Effectuer un XOR logique entre la ctmark et bits (le mnémonique pour --set-xmark bits /0 ).

--set-mark valeur [ / masque ]

Cette option permet de définir la marque de connexion. Si un masque est spécifié, seuls les bits correspondant aux bits positionnés du masque seront modifiés.

--save-mark [ --mask masque ]

Cette option permet de copier la marque de paquet nfmark vers la marque de connexion ctmark. Si un masque est spécifié, seuls les bits correspondant aux bits positionnés du masque seront copiés.

--restore-mark [ --mask masque ]

Cette option permet de copier la marque de connexion ctmark vers la marque de paquet nfmark. Si un masque est spécifié, seuls les bits correspondant aux bits positionnés du masque seront copiés. Cette option ne peut être utilisée que dans la table mangle .

CONNSECMARK

Cette action permet de copier les marquages de sécurité depuis les paquets vers les connexions (si non étiquetées), et depuis les connexions vers les paquets (là encore, si non étiquetés). Utilisée en général en combinaison avec l’action SECMARK, elle peut être utilisée dans la table security (à des fins de rétrocompatibilité avec les noyaux plus anciens, elle peut aussi être utilisée dans la table mangle ).

--save

Si le paquet possède un marquage de sécurité, copier ce dernier vers la connexion si elle n’est pas marquée.

--restore

Si la connexion possède un marquage de sécurité, copier ce dernier vers le paquet s’il n’en possède pas déjà un.

CT

L’action CT permet de définir les paramètres d’un paquet ou de la connexion qui lui est associée. Elle attache un « modèle » d’entrée de traçage de connexion au paquet, ce modèle étant ensuite utilisé par le cœur de conntrack lors de l’initialisation d’une nouvelle entrée ct. Cette action ne peut donc être utilisée que dans la table raw .
--notrack

Désactiver le traçage de connexion pour ce paquet.

--helper nom

Utiliser l’assistant identifié à l’aide de nom pour la connexion. Utiliser cette option est plus souple que charger les modules d’assistant de conntrack avec des ports prédéfinis.

--ctevents evènement [ , ...]

Ne générer que les évènements de conntrack spécifiés pour cette connexion. Les types d’évènement valables sont : new , related , destroy , reply , assured , protoinfo , helper , mark (ce type d’évènement fait référence à la ctmark, pas à la nfmark), natseqinfo et secmark (ctsecmark).

--expevents évènement [ , ...]

Ne générer que les événements d’attente spécifiés pour cette connexion. Le type d’évènement valable est : new .

--zone-orig { id | mark }

Assigner ce paquet à la zone id pour le trafic venant de la direction ORIGINAL et n’effectuer des recherches que dans cette zone. Si mark est spécifié à la place de id , la zone est dérivée de la marque de paquet nfmark.

--zone-reply { id | mark }

Assigner ce paquet à la zone id pour le trafic venant de la direction REPLY et n’effectuer des recherches que dans cette zone. Si mark est spécifié à la place de id , la zone est dérivée de la marque de paquet nfmark.

--zone { id | mark }

Assigner ce paquet à la zone id et n’effectuer des recherches que dans cette zone. Si mark est spécifié à la place de id , la zone est dérivée de la marque de paquet nfmark. Par défaut les paquets ont pour zone 0. Cette option s’applique aux deux directions.

--timeout nom

Utiliser la politique de délai d’expiration identifiée par nom pour la connexion. Cette option permet une définition plus souple de la politique de délai d’expiration que les valeurs de délai d’expiration global disponibles dans /proc/sys/net/netfilter/nf_conntrack_*_timeout_* .

DNAT

Cette action ne peut être utilisée que dans la table nat , dans les chaînes PREROUTING et OUTPUT , et dans les chaînes définies par l’utilisateur qui sont appelées depuis ces chaînes. Elle indique que l’adresse de destination du paquet doit être modifiée (et que tous les paquets ultérieurs de cette connexion seront aussi modifiés), et que l’examen des règles doit cesser. Elle accepte les options suivantes :
--to-destination [ adr_ip [ - adr_ip ]][ : port [ - port [ / port_de_base ]]]

Cette option permet de spécifier une adresse IP de destination seule ou une plage inclusive d’adresses IP. Il est possible d’indiquer une plage de ports si la règle spécifie aussi un des protocoles suivants : tcp , udp , dccp ou sctp . Si aucune plage de ports n’est spécifiée, le port de destination ne sera jamais modifié. Si aucune adresse IP n’est spécifiée, seul le port de destination sera modifié. Si port_de_base est spécifié, la différence entre le port de destination d’origine et sa valeur sera utilisée comme décalage dans la plage de ports de redirection, ce qui permet de créer des plages de redirection de ports décalés (disponible depuis la version 4.18 du noyau). Pour un seul port ou un port_de_base , il est possible d’utiliser un nom de service tel que ceux du fichier /etc/services .

--random

Rendre aléatoire la redirection du port source (noyaux >= 2.6.22).

--persistent

Attribuer à un client les mêmes adresses source et destination pour chaque connexion. Cette option l’emporte sur l’action SAME . La redirection persistante est prise en charge depuis la version 2.6.29-rc2.

IPv6 est pris en charge depuis la version 3.7 du noyau Linux.

DNPT (spécifique à IPv6)

Cette action permet d’effectuer une translation IPv6 à IPv6 sans conservation d’état (stateless) du préfixe réseau de destination (comme décrit dans la RFC 6296).

Vous devez utiliser cette action dans la table mangle , pas dans la table nat . Elle accepte les options suivantes :
--src-pfx [ préfixe/taille]

Définir le préfixe source que vous voulez traduire, ainsi que sa taille.

--dst-pfx [ préfixe/taille]

Définir le préfixe de destination que vous voulez utiliser dans la traduction, ainsi que sa taille.

Pour annuler la traduction, vous devez utiliser l’action SNPT . Exemple :

ip6tables -t mangle -I POSTROUTING -s fd00::/64 ! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64

ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64

Vous devrez peut-être activer le mandataire d’hôtes voisins IPv6 :

sysctl -w net.ipv6.conf.all.proxy_ndp=1

Vous devez aussi utiliser l’action NOTRACK pour désactiver le traçage de connexion pour les flux traduits.

DSCP

Cette action modifie la valeur des bits DSCP (Differentiated Services Code Point — valeur de code des services différenciés) au sein de l’en-tête TOS (Type of Service — type de service) du paquet IPv4. Comme elle manipule un paquet, elle ne peut être utilisée que dans la table mangle .
--set-dscp valeur

Affecter une valeur numérique au champ DSCP (en décimal ou hexadécimal).

--set-dscp-class classe

Affecter une classe de DiffServ (Differentiated Services) au champ DSCP.

ECN (spécifique à IPv4)

Cette action contourne de manière sélective les trous noirs ECN (Explicit Congestion Notification — notification explicite de congestion) connus. Elle ne peut être utilisée que dans la table mangle .
--ecn-tcp-remove

Supprimer tous les bits ECN de l’en-tête TCP. Bien entendu, cette option ne peut être utilisée qu’en combinaison avec -p tcp .

HL (spécifique à IPv6)

Cette action permet de modifier le champ « Hop Limit » de l’en-tête IPv6. Le champ « Hop Limit » est similaire à la valeur de TTL (Time To Live — durée de vie) en IPv4. Définir ou incrémenter la valeur du champ « Hop Limit » peut s’avérer très dangereux et il faut par conséquent éviter de le faire à tout prix. Cette action ne peut être utilisée que dans la table mangle .

Ne définissez ou incrémentez jamais cette valeur pour les paquets qui quittent votre réseau local !
--hl-set valeur

Définir « Hop Limit » à valeur .

--hl-dec valeur

Décrémenter « Hop Limit » un nombre de fois égal à valeur .

--hl-inc valeur

Incrémenter « Hop Limit » un nombre de fois égal à valeur .

HMARK

Cette action est similaire à MARK , c’est-à-dire qu’elle définit la marque fwmark (marque de pare-feu), mais que cette dernière est calculée en hachant le sélecteur de paquet choisi. Vous devez aussi spécifier la plage de marquage et éventuellement le décalage à partir duquel démarrer. Les messages d’erreur ICMP (Internet Control Message Protocol — Protocole de message de contrôle sur Internet) sont inspectés et utilisés pour calculer le hachage.

Les options disponibles sont :
--hmark-tuple tuple

Les membres du tuple possibles sont : src pour adresse source (adresses IPv4 ou IPv6), dst pour adresse de destination (adresses IPv4 ou IPv6), sport pour port source (TCP, UDP, UDPlite, SCTP, DCCP), dport pour port de destination (TCP, UDP, UDPlite, SCTP, DCCP), spi pour « Security Parameter Index » (AH, ESP) et ct pour utilisation du tuple conntrack à la place des sélecteurs de paquet.

--hmark-mod valeur (doit être supérieure à 0)

Modulus pour le calcul du hachage (afin de limiter la plage de marques possibles).

--hmark-offset valeur

Décalage à partir duquel démarrer les marques.

Pour une utilisation avancée, au lieu d’utiliser --hmark-tuple , vous
pouvez spécifier

des préfixes et des masques personnalisés :

--hmark-src-prefix cidr

Le masque d’adresse source en notation CIDR.

--hmark-dst-prefix cidr

Le masque d’adresse de destination en notation CIDR.

--hmark-sport-mask valeur

Un masque de port source sur 16 bits en hexadécimal.

--hmark-dport-mask valeur

Un masque de port de destination sur 16 bits en hexadécimal.

--hmark-spi-mask valeur

Un champ de 32 bits avec le masque spi.

--hmark-proto-mask valeur

Un champ sur 8 bits avec le numéro du protocole de la couche 4.

--hmark-rnd valeur

Une valeur personnalisée quelconque sur 32 bits pour amorcer le calcul du hachage.

Exemples :

iptables -t mangle -A PREROUTING -m conntrack --ctstate NEW
-j HMARK --hmark-tuple ct,src,dst,proto --hmark-offset 10000 --hmark-mod 10 --hmark-rnd 0xcafedeca

iptables -t mangle -A PREROUTING -j HMARK --hmark-offset 10000 --hmark-tuple src,dst,proto --hmark-mod 10 --hmark-rnd 0xfadeface

IDLETIMER

Cette action permet de détecter le moment où des interfaces sont inactives depuis un certain temps. Les minuteurs sont identifiés par des étiquettes et sont créés lorsqu’une règle est définie avec une nouvelle étiquette. Les règles acceptent aussi une valeur de délai (en secondes) en tant qu’option. Si plusieurs règles utilisent la même étiquette de minuteur, ce dernier sera redémarré chaque fois qu’une de ces règles s’applique à un paquet. Une entrée est créée pour chaque minuteur dans sysfs (5). Cet attribut contient le temps restant avant expiration du minuteur. Les attributs sont situés sous la classe xt_idletimer :

/sys/class/xt_idletimer/timers/<étiquette>

Lorsque le minuteur arrive à expiration, le module de l’action envoie une notification sysfs (5) vers l’espace utilisateur, ce dernier pouvant alors décider quoi faire (par exemple se déconnecter pour économiser de l’énergie).
--timeout valeur

La valeur de délai en secondes après laquelle la notification sera envoyée.

--label chaîne

Un identifiant unique pour chaque minuteur. La taille maximale de la chaîne est de 27 caractères.

LED

Cette action permet de créer un déclencheur de LED (Light-Emitting Diode — diode électroluminescente) qui peut alors être relié aux voyants de l’indicateur du système en les allumant ou les faisant clignoter lorsque certains paquets traversent le système. Par exemple, une LED pourrait s’allumer pendant quelques minutes chaque fois qu’une connexion SSH est établie avec la machine locale. Le comportement du déclencheur peut être contrôlé à l’aide des options suivantes :
--led-trigger-id nom

Le nom donné au déclencheur de LED. Le véritable nom du déclencheur sera préfixé par « netfilter- ».

--led-delay ms

Le temps (en millisecondes) pendant lequel la LED devra rester allumée lorsqu’un paquet arrive avant d’être éteinte. La valeur par défaut est 0 (clignoter aussi vite que possible). Pour que la LED reste allumée en permanence une fois activée, utilisez la valeur spéciale inf (dans ce cas, le déclencheur devra être détaché et attaché à nouveau manuellement au dispositif à LED pour éteindre cette dernière).

--led-always-blink

Toujours faire clignoter la LED à l’arrivée d’un paquet, même si cette dernière est déjà allumée. Cette option permet de notifier l’arrivée de nouveaux paquets, même avec de grandes valeurs de délai (autrement, le délai serait simplement prolongé de manière silencieuse).

Exemple :
Créer un déclencheur de LED pour le trafic SSH entrant :

iptables -A INPUT -p tcp --dport 22 -j LED --led-trigger-id ssh

puis relier le nouveau déclencheur à une LED :

echo netfilter-ssh >/sys/class/leds/ nom_led /trigger

LOG

Cette action permet d’activer la journalisation des paquets qui correspondent au niveau du noyau. Lorsqu’elle est utilisée dans une règle, le noyau Linux enregistre certaines informations à propos de tous les paquets qui correspondent (comme la plupart des champs d’en-tête IP/IPv6) dans le journal du noyau (d’où elles peuvent être consultées à l’aide de dmesg(1) ou lues dans le journal du système).

Cette action est « non terminale », c’est-à-dire que le parcours des règles continue à la règle suivante. Ainsi, si vous voulez journaliser les paquets que vous refusez, utilisez deux règles séparées avec les mêmes critères de correspondance, la première utilisant l’action LOG et la seconde la cible DROP (ou REJECT ).
--log-level niveau

Le niveau de journalisation qui peut être un nombre (spécifique au système) ou un mnémonique. Les valeurs possibles sont (dans l’ordre décroissant des priorités) : emerg , alert , crit , error , warning , notice , info ou debug .

--log-prefix préfixe

Faire débuter les messages de journalisation par le préfixe spécifié (jusqu’à 29 lettres de long), ce qui permet de distinguer les messages dans les journaux.

--log-tcp-sequence

Journaliser les numéros de séquence TCP. Cette option induit un risque de sécurité si le journal est accessible en lecture pour les utilisateurs.

--log-tcp-options

Journaliser les options de l’en-tête du paquet TCP.

--log-ip-options

Journaliser les options de l’en-tête du paquet IP/IPv6.

--log-uid

Journaliser l’UID du processus qui a généré le paquet.

--log-macdecode

Journaliser les adresses MAC et le protocole.

MARK

Cette action permet de définir la valeur de la marque de Netfilter associée au paquet. Par exemple, vous pouvez l’utiliser conjointement avec un routage basé sur la marque de pare-feu fwmark (nécessite iproute2). Si vous envisagez de le faire, notez que pour affecter le routage, la marque doit être définie soit dans la chaîne PREROUTING , soit dans la chaîne OUTPUT de la table mangle . La taille du champ de la marque est de 32 bits.
--set-xmark valeur [ / masque ]

Mettre à zéro les bits donnés par masque et combiner valeur avec la marque de paquet (« nfmark ») à l’aide d’un XOR. Si masque est omis, sa valeur par défaut est 0xFFFFFFFF.

--set-mark valeur [ / masque ]

Mettre à zéro les bits donnés par masque et combiner valeur avec la marque de paquet à l’aide d’un OU logique. Si masque est omis, sa valeur par défaut est 0xFFFFFFFF.

Les mnémoniques suivants sont disponibles :
--and-mark bits

Combiner la nfmark avec bits à l’aide d’un ET logique (c’est le mnémonique pour --set-xmark 0/ invbits où invbits est la négation logique de bits ).

--or-mark bits

Combiner la nfmark avec bits à l’aide d’un OU logique (c’est le mnémonique pour --set-xmark bits / bits ).

--xor-mark bits

Combiner la nfmark avec bits à l’aide d’un XOR (c’est le mnémonique pour --set-xmark bits /0 ).

MASQUERADE

Cette action n’est valable que dans la table nat et la chaîne POSTROUTING . Elle ne doit être utilisée que pour les connexions avec adresse IP dynamiquement assignée (dialup — accès commuté) : si vous avez une adresse IP statique, vous devez utiliser l’action SNAT . La « mascarade » (masquerading) consiste à spécifier une association avec l’adresse IP de l’interface par laquelle sort le paquet, mais a aussi pour effet d’ oublier les connexions lorsque l’interface est désactivée. C’est un comportement approprié lorsque les accès commutés ultérieurs ont peu de chance d’avoir la même adresse d’interface (et que les connexions établies seront perdues de toute façon).
--to-ports port [ - port ]

Cette option permet de spécifier une plage de ports source à utiliser, outrepassant les heuristiques de sélection de port source de SNAT (voir ci-avant). Elle ne peut être utilisée que si la règle spécifie aussi un des protocoles suivants : tcp , udp , dccp ou sctp .

--random

Rendre aléatoire la redirection de port source (noyaux de version >= 2.6.21). À partir de la version 5.0 du noyau, --random est identique à --random-fully .

--random-fully

Rendre totalement aléatoire la redirection de port source (noyaux de version >= 3.13).

IPv6 est pris en charge depuis la version 3.7 du noyau Linux.

NETMAP

Cette action permet de rediriger statiquement tout un réseau d’adresses vers un autre réseau d’adresses. Elle ne peut être utilisée que dans les règles de la table nat .
--to adresse [ / masque ]

Cette option permet de spécifier le réseau d’adresses de redirection. L’adresse résultante est construite de la manière suivante : tous les bits à 1 du masque sont remplacés par ceux de l’adresse de redirection spécifiée, et tous les bits à 0 du masque par ceux de l’adresse d’origine.

IPv6 est pris en charge depuis la version 3.7 du noyau Linux.

NFLOG

Cette action permet la journalisation des paquets qui correspondent. Lorsqu’elle est utilisée dans une règle, le noyau Linux transmet le paquet au dorsal de journalisation chargé pour le journaliser. Cette action est en général utilisée conjointement avec nfnetlink_log comme dorsal de journalisation, lequel diffusera (multicast) le paquet à l’aide d’un socket netlink vers le groupe de multidiffusion spécifié. Un ou plusieurs processus de l’espace utilisateur peuvent souscrire au groupe afin de recevoir les paquets. Comme LOG , c’est une action « non terminale », c’est-à-dire que le parcours des règles continue à la règle suivante.
--nflog-group groupe_netlink

Cette option permet de spécifier le groupe netlink (0–2^16-1) auquel les paquets sont envoyés (applicable seulement à nfnetlink_log ). La valeur par défaut est 0.

--nflog-prefix préfixe

Cette option permet de spécifier un préfixe, d’une longueur maximale de 64 caractères, à ajouter au message de journalisation pour faciliter la discrimination des messages dans les journaux.

--nflog-range taille

Cette option n’ayant jamais fonctionné, utilisez --nflog-size à la place.

--nflog-size taille

Cette option permet de spécifier le nombre d’octets qui doivent être copiés vers l’espace utilisateur (applicable seulement pour nfnetlink_log ). Des instances de nfnetlink_log pouvant spécifier leur propre plage, cette option outrepasse cette dernière.

--nflog-threshold taille

Cette option permet de spécifier le nombre de paquets à mettre en file d’attente dans le noyau avant de les envoyer vers l’espace utilisateur (applicable seulement pour nfnetlink_log ). Une valeur élevée diminue la surcharge par paquet, mais augmente le délai avec lequel les paquets atteignent l’espace utilisateur. La valeur par défaut est 1.

NFQUEUE

Cette action transmet le paquet à l’espace utilisateur en utilisant le gestionnaire nfnetlink_queue . Le paquet est placé dans la file d’attente identifiée par son numéro sur 16 bits. L’espace utilisateur peut inspecter et modifier le paquet s’il le souhaite ; il devra alors supprimer ou réinjecter le paquet dans le noyau. Voir libnetfilter_queue pour les détails. nfnetlink_queue a été ajouté à Linux à partir de la version 2.6.14, queue-balance à partir de la version 2.6.31 et queue-bypass à partir de la version 2.6.39.
--queue-num valeur

Cette option permet de spécifier le numéro de file d’attente à utiliser qui doit être compris entre 0 et 65535 inclus. La valeur par défaut est 0.

--queue-balance valeur : valeur

Cette option permet de spécifier une plage de numéros de file d’attente à utiliser. Les paquets seront alors répartis entre ces dernières. Cette option s’avère utile pour les systèmes multicœurs : lancer plusieurs instances du programme en espace utilisateur associés aux files d’attente x, x+1, ... x+n et utiliser « --queue-balance x : x+n ». Les paquets appartenant à une même connexion sont placés dans la même file d’attente de netfilter (nfqueue). À cause de certains détails de l’implémentation, une valeur de borne inférieure de la plage égale à 0 limite la valeur de la borne supérieure à 65534, c’est-à-dire que le nombre de files d’attente entre lesquelles les paquets pourront être répartis est de 65535.

--queue-bypass

Par défaut, si aucun programme de l’espace utilisateur n’est associé à une file d’attente de netfilter, tous les paquets qui doivent être mis en file d’attente sont supprimés. Lorsque cette option est utilisée, la règle contenant l’action NFQUEUE se comportera comme la cible ACCEPT , et le paquet sera envoyé à la table suivante.

--queue-cpu-fanout

Cette option est disponible à partir de la version 3.10 du noyau Linux. Lorsqu’elle est spécifiée conjointement avec l’option --queue-balance , elle utilise l’identifiant de processeur comme un index pour associer les paquets à une file d’attente. Elle est conçue sur l’idée selon laquelle on peut améliorer les performances s’il y a une file d’attente par processeur. Vous devez spécifier l’option --queue-balance pour pouvoir utiliser cette option.

NOTRACK

Cette action permet de désactiver le traçage des connexions pour tous les paquets qui correspondent à la règle actuelle. Elle est équivalente à « -j CT --notrack ». Comme CT , NOTRACK ne peut être utilisée que dans la table raw .

RATEEST

Cette action collecte des statistiques, effectue des estimations de débit et sauvegarde les résultats pour une évaluation ultérieure à l’aide du module rateest .
--rateest-name nom

Cette option permet d’enregistrer le décompte des paquets qui correspondent dans l’ensemble spécifié par nom , ce dernier pouvant être choisi arbitrairement.

--rateest-interval quantité { s | ms | µs }

Cette option permet de spécifier un intervalle de mesure de débit en secondes, millisecondes ou microsecondes.

--rateest-ewmalog valeur

Cette option permet de spécifier avec quelle période doit être effectué le calcul de la moyenne de la mesure du débit.

REDIRECT

Cette action ne peut être utilisée que dans les chaînes PREROUTING et OUTPUT de la table nat , et dans les chaînes définies par l’utilisateur qui ne sont appelées que depuis ces chaînes. Elle redirige le paquet vers la machine elle-même en remplaçant l’adresse IP de destination par l’adresse primaire de l’interface d’entrée (les paquets générés localement sont associés à l’adresse « localhost », 127.0.0.1 pour IPv4 et ::1 pour IPv6, et les paquets arrivant sur une interface qui n’ont pas d’adresse IP configurée sont supprimés).
--to-ports port [ - port ]

Cette option permet de spécifier un port ou une plage de ports de destination à utiliser : sans cela, le port de destination ne sera jamais modifié. Elle ne peut être utilisée que si la règle spécifie aussi un des protocoles suivants : tcp , udp , dccp ou sctp . Pour un port unique, il est aussi possible de spécifier un nom de service parmi ceux listés dans /etc/services .

--random

Rendre aléatoire la redirection du port source (noyaux >= 2.6.22).

IPv6 est pris en charge à partir de la version 3.7 des noyaux Linux.

REJECT (spécifique à IPv6)

Cette action permet de renvoyer un paquet d’erreur en réponse à un paquet qui correspondait à la règle ; cela mis à part, elle est équivalente à DROP ; il s’agit donc d’une action terminale qui interrompt le parcours des règles. Elle ne peut être utilisée que dans les chaînes INPUT , FORWARD et OUTPUT , et dans les chaînes définies par l’utilisateur qui ne sont appelées que depuis ces chaînes. Les options suivantes permettent de contrôler la nature du paquet d’erreur renvoyé :
--reject-with type

Le type spécifié peut être icmp6-no-route , no-route , icmp6-adm-prohibited , adm-prohibited , icmp6-addr-unreachable , addr-unreach ou icmp6-port-unreachable qui renvoie le message d’erreur ICMPv6 approprié (la valeur par défaut est icmp6-port-unreachable ). L’option tcp-reset peut être utilisée dans les règles qui ne concernent que le protocole TCP : elle renvoie un paquet TCP RST. Cette option s’avère particulièrement utile pour bloquer les tentatives ident (113/tcp) qui surviennent fréquemment lors d’envois de courriels à des serveurs de messagerie défectueux (qui autrement n’accepteront pas votre courrier). tcp-reset ne peut être utilisée que depuis la version 2.6.14 du noyau.

Avertissement : vous ne devez pas appliquer sans discrimination l’action REJECT aux paquets dont l’état de connexion est considéré INVALID ; vous devez plutôt les supprimer à l’aide de la cible DROP .

Imaginez un hôte source transmettant un paquet P, ce dernier subissant un retard de transmission si important que l’hôte source effectue une retransmission sous la forme du paquet P_2, ce dernier atteignant sa destination avec succès et faisant progresser l’état de connexion normalement. Il est concevable que le paquet P arrivant en retard soit considéré comme non associé à une entrée de traçage de connexion. Générer une réponse REJECT pour un tel paquet mettrait alors fin à la connexion saine.

Donc, au lieu de :

-A INPUT ... -j REJECT

utilisez plutôt :

-A INPUT ... -m conntrack --ctstate INVALID -j DROP
-A INPUT ... -j REJECT

REJECT (spécifique à IPv4)

Le type spécifié peut être icmp-net-unreachable , icmp-host-unreachable , icmp-port-unreachable , icmp-proto-unreachable , icmp-net-prohibited , icmp-host-prohibited ou icmp-admin-prohibited (*) qui renvoie le message d’erreur ICMP approprié (la valeur par défaut est icmp-port-unreachable ). L’option tcp-reset peut être utilisée dans les règles qui ne concernent que le protocole TCP : elle renvoie un paquet TCP RST. Cette option s’avère particulièrement utile pour bloquer les tentatives ident (113/tcp) qui surviennent fréquemment lors d’envois de courriels à des serveurs de messagerie défectueux (qui autrement n’accepteront pas votre courrier).

(*) Utiliser icmp-admin-prohibited avec des noyaux qui ne le prennent pas en charge entraînera l’envoi vers la cible DROP au lieu de l’application de l’action REJECT .

Donc, au lieu de :

-A INPUT ... -j REJECT

utilisez plutôt :

-A INPUT ... -m conntrack --ctstate INVALID -j DROP
-A INPUT ... -j REJECT

SECMARK

Ce module permet de définir la valeur de la marque de sécurité associée au paquet et destinée à être utilisée par les sous-systèmes de sécurité tels que SELinux. Il peut être utilisé dans la table security (ainsi que dans la table mangle à des fins de rétrocompatibilité avec les noyaux plus anciens). La taille de la marque est de 32 bits.
--selctx contexte_sécurité

SET

Ce module permet d’ajouter et/ou supprimer des entrées dans les ensembles d’adresses IP définis à l’aide d’ ipset (8).
--add-set nom_ensemble drapeau [ , drapeau ...]

Cette option permet d’ajouter la(les) adresse(s)/port(s) du paquet à l’ensemble spécifié.

--del-set nom_ensemble drapeau [ , drapeau ...]

Cette option permet de supprimer la(les) adresse(s)/port(s) du paquet de l’ensemble spécifié.

--map-set nom_ensemble drapeau [ , drapeau ...]

[--map-mark] [--map-prio] [--map-queue] mappent les propriétés du paquet (marquage pare-feu, priorité tc (traffic control — contrôle de trafic), file d’attente matériel)

où les drapeau (x), dont le nombre est limité à 6, sont des spécifications src et/ou dst .

--timeout valeur

Lors de l’ajout d’une entrée, cette option permet de définir la valeur du délai d’expiration à utiliser à la place de la valeur par défaut définie pour l’ensemble.

--exist

Lors de l’ajout d’une entrée, si elle existe déjà, cette option permet de réinitialiser la valeur du délai d’expiration à la valeur spécifiée ou, à défaut, à celle définie pour l’ensemble.

--map-set nom_ensemble

nom_ensemble doit être créé à l’aide de l’option --skbinfo. --map-mark mappe la marque de pare-feu avec le paquet en en recherchant la valeur dans l’ensemble. --map-prio mappe la priorité du contrôle de trafic avec le paquet en en recherchant la valeur dans l’ensemble. --map-queue mappe la file d’attente matériel de la NIC (Network Interface Card — carte réseau) en en recherchant la valeur dans l’ensemble.

L’option --map-set ne peut être utilisée que dans la table mangle . Les options --map-prio et --map-queue peuvent être utilisées dans les chaînes OUTPUT , FORWARD et POSTROUTING .

L’utilisation de « -j SET » nécessite la prise en charge d’ipset par le noyau, ce qui est le cas, pour les noyaux standards, à partir de Linux 2.6.39.

SNAT

Cette action ne peut être utilisée que dans les chaînes POSTROUTING et INPUT de la table nat , et dans les chaînes définies par l’utilisateur qui ne sont appelées que depuis ces chaînes. Elle indique que l’adresse source du paquet (ainsi que celle de tous les paquets ultérieurs de cette connexion) doit être modifiée et que le parcours des règles doit cesser. Elle accepte les options suivantes :
--to-source [ adr_ip [ - adr_ip ]][ : port [ - port ]]

Cette option permet de spécifier une seule nouvelle adresse IP source ou une plage inclusive d’adresses IP, et éventuellement une plage de ports, si la règle spécifie aussi un des protocoles suivants : tcp , udp , dccp ou sctp . Si aucune plage de ports n’est spécifiée, les ports source de numéro inférieur à 512 seront redirigés vers d’autres ports de numéro inférieur à 512, ceux dont les numéros sont compris entre 512 et 1023 inclus seront redirigés vers d’autres ports de numéro inférieur à 1024 et les autres ports seront redirigés vers d’autres ports de numéro supérieur ou égal à 1024. Lorsque c’est possible, aucune modification de port n’est effectuée.

--random

Rendre aléatoire la redirection du port source grâce à un algorithme basé sur le hachage (noyaux de version >= 2.6.21).

--random-fully

Rendre totalement aléatoire la redirection du port source grâce à un PRNG (Pseudorandom Number Generator — générateur de nombres pseudo-aléatoires) ; disponible à partir de la version 3.14 du noyau.

--persistent

Les noyaux de version antérieure à 2.6.36-rc1 ne prennent pas en charge l’action SNAT dans la chaîne INPUT .
IPv6 est pris en charge depuis la version 3.7 du noyau Linux.

SNPT (spécifique à IPv6)

Cette action permet d’effectuer une translation NPTv6 (IPv6 à IPv6 Network Prefix Translation) sans conservation d’état (stateless) du préfixe réseau source (comme décrit dans la RFC 6296).

Vous devez utiliser cette action dans la table mangle , pas dans la table nat . Elle accepte les options suivantes :
--src-pfx [ préfixe/taille]

Définir le préfixe source que vous voulez traduire, ainsi que sa taille.

--dst-pfx [ préfixe/taille]

Définir le préfixe de destination que vous voulez utiliser dans la traduction, ainsi que sa taille.

Pour annuler la translation, vous devez utiliser l’action DNPT . Exemple :

ip6tables -t mangle -I POSTROUTING -s fd00::/64 ! -o vboxnet0 -j SNPT --src-pfx fd00::/64 --dst-pfx 2001:e20:2000:40f::/64

ip6tables -t mangle -I PREROUTING -i wlan0 -d 2001:e20:2000:40f::/64 -j DNPT --src-pfx 2001:e20:2000:40f::/64 --dst-pfx fd00::/64

Vous devrez peut-être activer le mandataire d’hôtes voisins IPv6 :

sysctl -w net.ipv6.conf.all.proxy_ndp=1

Vous devez aussi utiliser l’action NOTRACK pour désactiver le traçage de connexion pour les flux traduits.

SYNPROXY

Cette action permet de traiter la poignée de main TCP en trois temps (TCP three-way-handshake) en parallèle dans le contexte netfilter pour protéger le système de la machine locale ou du dorsal. Elle nécessite le traçage de connexion, car les numéros de séquence doivent être traduits. La capacité des noyaux à absorber les attaques SYNFLOOD ayant été considérablement améliorée avec la version 4.4, cette action ne devrait plus être nécessaire pour protéger les serveurs Linux.
--mss taille_maximale_segment

Cette option permet de définir la taille maximale de segment indiquée aux clients. Elle doit être identique à celle du dorsal.

--wscale redimensionnement_fenêtre

Facteur de multiplication de la fenêtre de réception indiqué aux clients. Il doit être identique à celui du dorsal.

--sack-perm

Transmission de l’option d’acquittement sélectif du client au dorsal (sera désactivée si non présente).

--timestamps

Transmission de l’option d’horodatage du client au dorsal (sera désactivée si non présente, aussi nécessaire pour l’acquittement sélectif et le redimensionnement de fenêtre).

Exemple :

Déterminer les options tcp utilisées par le dorsal à partir d’un système externe.

tcpdump -pni eth0 -c 1 ’tcp[tcpflags] == (tcp-syn|tcp-ack)’
port 80 &
telnet 192.0.2.42 80
18:57:24.693307 IP 192.0.2.42.80 > 192.0.2.43.48757:
Flags [S.], seq 360414582, ack 788841994, win 14480,
options [mss 1460,sackOK,
TS val 1409056151 ecr 9690221,
nop,wscale 9],
length 0

Mettre le mode tcp_loose à off de façon que le traçage de connexion marque les paquets hors flux comme « INVALID ».

echo 0 > /proc/sys/net/netfilter/nf_conntrack_tcp_loose

Faire que les paquets SYN ne soient pas tracés.

iptables -t raw -A PREROUTING -i eth0 -p tcp --dport 80
--syn -j CT --notrack

Intercepter les états « UNTRACKED » (paquets SYN) et « INVALID » (paquets ACK de la poignée de main en trois temps) et les soumettre à l’action SYNPROXY . Cette règle répondra aux paquets SYN avec des syncookies SYN+ACK, créera une connexion ESTABLISHED pour une réponse client valable (paquets ACK de la poignée de main en trois temps) et supprimera les cookies incorrects. Les combinaisons de drapeaux inattendues (par exemple SYN+FIN, SYN+ACK) au cours de la poignée de main en trois temps ne correspondront pas et le parcours des règles continuera.

iptables -A INPUT -i eth0 -p tcp --dport 80
-m state --state UNTRACKED,INVALID -j SYNPROXY
--sack-perm --timestamp --mss 1460 --wscale 9

Supprimer les paquets non valables, c’est-à-dire les paquets hors flux qui n’ont pas été soumis à l’action SYNPROXY .

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state INVALID -j DROP

TCPMSS

Cette action modifie la valeur de MSS (Maximum Segment Size — taille maximale de segment) des paquets TCP SYN pour contrôler la taille maximale pour cette connexion (en général en la limitant au MTU (Maximum Transmission Unit — unité de transmission maximale) de votre interface de sortie moins 40 pour IPv4 ou moins 60 pour IPv6). Bien entendu, elle ne peut être utilisée que conjointement avec l’option -p tcp .

Cette action permet de contourner les FAI ou serveurs en état de mort cérébrale manifeste qui bloquent les paquets considérés comme « nécessitant une fragmentation ICMP » ou comme « paquets ICMPv6 trop gros ». Les symptômes de ce problème se manifestent par le fait que, bien que tout semble fonctionner correctement depuis votre pare-feu ou routeur Linux, les machines situées derrière ces derniers ne peuvent jamais échanger de gros paquets :

	1.		Les navigateurs internet se connectent puis se bloquent sans réception de données.
	2.		Les petits courriels sont envoyés, mais les gros bloquent.
	3.		ssh fonctionne correctement, mais scp bloque après la poignée de main initiale.

Solution : activer cette option et ajouter à la configuration de votre pare-feu une règle du style :

iptables -t mangle -A FORWARD -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu

--set-mss valeur

Cette option permet de définir explicitement la MSS à la valeur spécifiée. Si la MSS du paquet est déjà inférieure à valeur , elle ne sera pas augmentée (à partir de Linux 2.6.25) pour éviter des problèmes avec les hôtes qui fonctionnent avec une MSS particulière.

--clamp-mss-to-pmtu

Cette option permet de fixer automatiquement la valeur de MSS à « path_MTU - 40 » pour IPv4 et à « path_MTU - 60 » pour IPv6 (NDT : le path_MTU est la plus petite unité de transmission maximale rencontrée sur le chemin réseau). Elle peut ne pas fonctionner comme souhaité lorsque des routes asymétriques avec des path_MTU différents existent — le noyau utilise le path_MTU qu’il utiliserait pour envoyer des paquets depuis lui-même vers les adresses IP source et de destination. Avant Linux 2.6.25, seul le path_MTU vers l’adresse IP de destination était considéré par cette option ; les noyaux ultérieurs considèrent aussi le path_MTU vers l’adresse IP source.

Ces options sont mutuellement exclusives.

TCPOPTSTRIP

Cette action permet de supprimer les options TCP d’un paquet TCP (en fait, elle les remplace par des options vides — NO-OP). Pour qu’elle fonctionne, vous devez ajouter l’option -p tcp .
--strip-options option [ , option ...]

Cette option permet de supprimer les options spécifiées. Ces dernières peuvent être spécifiées à l’aide de leur numéro d’option TCP ou de leur nom symbolique. La liste des options reconnues peut être obtenue en appelant iptables avec -j TCPOPTSTRIP -h .

TEE

Cette action permet de cloner un paquet et de rediriger ce clone vers une autre machine sur le segment réseau local . En d’autres termes, le prochain saut doit être la cible, ou vous devrez configurer le prochain saut pour rediriger le clone plus loin si vous le souhaitez.
--gateway adr_ip

Cette option permet d’envoyer le paquet cloné à l’hôte pouvant être atteint à l’adresse IP spécifiée. Utiliser 0.0.0.0 (pour les paquets IPv4) ou :: (pour les paquets IPv6) n’est pas valable.

Pour rediriger tout le trafic entrant sur eth0 vers une machine de journalisation de la couche réseau :

-t mangle -A PREROUTING -i eth0 -j TEE --gateway 2001:db8::1

TOS

Cette action permet de définir le champ « Type of Service » de l’en-tête IPv4 (y compris les bits de priorité) ou le champ « Priority » de l’en-tête IPv6. Notez que TOS partage les mêmes bits que DSCP et ECN . L’action TOS ne peut être utilisée que dans la table mangle .
--set-tos valeur [ / masque ]

Mettre à zéro les bits spécifiés par masque (voir NOTE ci-après) et combiner valeur et le champ TOS/Priority avec un XOR. Si masque est omis, sa valeur par défaut est 0xFF.

--set-tos symbole

Vous pouvez utiliser un nom symbolique lors de l’utilisation de l’action TOS pour IPv4. Un masque de 0xFF sera alors implicite (voir NOTE ci-après). La liste des noms de TOS valables peut être obtenue en appelant iptables avec « -j TOS -h ».

Les mnémoniques suivants sont disponibles :
--and-tos bits

Combiner la valeur de TOS et bits à l’aide d’un ET logique (mnémonique pour « --set-tos 0/ invbits » où invbits est la négation binaire de bits , voir NOTE ci-après).

--or-tos bits

Combiner la valeur de TOS et bits à l’aide d’un OU logique (mnémonique pour « --set-tos bits / bits », voir NOTE ci-après).

--xor-tos bits

Combiner la valeur de TOS et bits à l’aide d’un XOR (mnémonique pour « --set-tos bits /0 », voir NOTE ci-après).

NOTE : avec les noyaux jusqu’à la version 2.6.38, à l’exception des versions à long terme 2.6.32 (>=.42), 2.6.33 (>=.15) et 2.6.35 (>=.14), un bogue fait que la manipulation du champ TOS en IPv6 se comporte différemment de ce qui est documenté et diffère de la version IPv4. Le masque TOS indique les bits que l’on veut mettre à zéro ; il doit donc être inversé avant d’être appliqué au champ TOS d’origine. Cependant, les noyaux mentionnés ci-avant n’effectuent pas cette inversion, ce qui entraîne un fonctionnement défectueux de l’option --set-tos et de ses mnémoniques.

TPROXY

Cette action ne peut être utilisée que dans la table mangle , dans la chaîne PREROUTING et les chaînes définies par l’utilisateur qui ne sont appelées que depuis cette chaîne. Elle redirige le paquet vers un socket local sans modifier l’en-tête de paquet de quelque façon que ce soit. Elle peut aussi modifier la valeur de marquage qui pourra alors être utilisée dans des règles de routage avancées. Elle accepte trois options :
--on-port port

Cette option permet de spécifier le port de destination à utiliser. Elle est obligatoire, 0 signifiant que le nouveau port de destination est le même que le port d’origine. Elle n’est valable que si la règle spécifie aussi -p tcp ou -p udp .

--on-ip adresse

Cette option permet de spécifier l’adresse de destination à utiliser. Par défaut, il s’agit de l’adresse de l’interface entrante. Elle n’est valable que si la règle spécifie aussi -p tcp ou -p udp .

--tproxy-mark valeur [ / masque ]

Cette option permet de marquer les paquets avec la paire valeur / masque spécifiée. La valeur de la marque de pare-feu (fwmark) définie ici peut être utilisée pour le routage avancé (cette option est nécessaire pour utiliser un mandataire transparent (transparent proxying) : si elle n’est pas présente, ces paquets seront redirigés, ce qui ne correspond probablement pas à ce vous souhaitez).

TRACE

Cette action marque les paquets de façon que le noyau journalise chaque règle qui correspond aux paquets lorsque ces derniers traversent les tables, chaînes ou règles. Elle ne peut être utilisée que dans la table raw .

Avec iptables-legacy , un dorsal de journalisation comme ip(6)t_LOG ou nfnetlink_log doit être chargé pour que cela soit visible. Les paquets sont journalisés avec le préfixe « TRACE: nom_table:nom_chaîne:type:numéro_règle » où type peut avoir pour valeur « rule » pour une règle à part entière, « return » pour une règle implicite à la fin d’une chaîne définie par l’utilisateur ou « policy » pour la politique des chaînes intégrées.

Avec iptables-nft , l’action est traduite en une expression meta nftrace de nftables . Ainsi le noyau envoie les évènements de traçage à l’aide de netlink vers l’espace utilisateur où ils peuvent être affichés en utilisant la commande xtables-monitor --trace . Pour les détails, veuillez consulter xtables-monitor (8).

TTL (spécifique à IPv4)

Cette action permet de modifier le champ d’en-tête IPv4 TTL. Le champ TTL détermine le nombre de sauts (routeurs) qu’un paquet peut traverser avant que sa durée de vie soit dépassée.

Définir ou augmenter la valeur du champ TTL peut s’avérer très dangereux et il faut donc à tout prix éviter de le faire. Cette action ne peut être utilisée que dans la table mangle .

Ne définissez ou incrémentez jamais cette valeur pour les paquets qui quittent votre réseau local !
--ttl-set valeur

Cette option permet de définir la valeur du champ TTL à valeur .

--ttl-dec n

Cette option permet de décrémenter la valeur du champ TTL n fois.

--ttl-inc n

Cette option permet d’incrémenter la valeur du champ TTL n fois.

ULOG (spécifique à IPv4)

Cette action est le prédécesseur obsolète spécifique à IPv4 de l’action NFLOG . Elle permet de journaliser les paquets qui correspondent dans l’espace utilisateur. Lorsque cette action est définie pour une règle, le noyau Linux multidiffuse les paquets à l’aide d’un socket netlink . Un ou plusieurs processus de l’espace utilisateur peuvent alors s’abonner à différents groupes de multidiffusion et recevoir les paquets. Comme LOG , c’est une action « non terminale », c’est-à-dire que le parcours des règles continue à la règle suivante.
--ulog-nlgroup groupe_netlink

Cette option permet de spécifier le groupe netlink (1-32) auquel est envoyé le paquet. La valeur par défaut est 1.

--ulog-prefix préfixe

Cette option permet de spécifier le préfixe à ajouter aux messages de journalisation ; d’une taille maximale de 32 caractères, il permet de distinguer les messages dans les journaux.

--ulog-cprange n

Cette option permet de spécifier le nombre d’octets à copier vers l’espace utilisateur. Une valeur de 0 (la valeur par défaut) signifie que le paquet doit être copié dans sa totalité sans tenir compte de sa taille.

--ulog-qthreshold n

Cette option permet de spécifier le nombre de paquets à mettre en file d’attente dans le noyau. Définir cette valeur à 10, par exemple, stocke dix paquets dans le noyau et les transmet à l’espace utilisateur en un seul message netlink en plusieurs parties (multipart). La valeur par défaut est 1 (à des fins de rétrocompatibilité).

TRADUCTION

La traduction française de cette page de manuel a été créée par Lucien Gentis <lucien.gentis@univ-lorraine.fr>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n’y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org .