Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 130netfilter:10-fonction [le 29/03/2025 à 08:46] – [Le filtrage de paquets] prof
+++ 130netfilter:10-fonction [le 05/04/2025 à 16:40] (Version actuelle) – ↷ Liens modifiés en raison d'un déplacement. prof
@@ Ligne 4: / Ligne 4: @@
 Il y a de nombreuses raisons de faire un tel filtrage, tant en IPv4 qu'en IPv6, la plus souvent pour protéger les systèmes des agressions extérieures (pare-feu), mais pas seulement.
-Pour cette étude, comme d'habitude, une maquette virtuelle fera l'affaire. Reprenons celle utilisée pour l'exposé sur DHCP:
-{{ :090_applicatifs:165dhcp:dhcp_network.svg |Maquette virtuelle}}
-La station qui fait office de routeur/DHCP/DNS va en plus devoir assurer la protection du LAN en vert, autant en IPv4 qu'en IPv6
 ===== Position du problème =====
 Cette station doit:
-  - assurer le routage IPv4 avec un masquage d'adresses, nous avions vu pourquoi dans le chapitre sur l'[[050_profondeurs:040-un-routeur|ajout d'un routeur en IPv4]],
+  - assurer le routage IPv4 avec un masquage d'adresses, nous avions vu pourquoi dans le chapitre sur l'[[050-manips-ipv4:040-un-routeur|ajout d'un routeur en IPv4]],
   - assurer la liaison avec la délégation du bloc IPv6 2a01:e0a:875:b1d2::/64, comme vu dans le chapitre sur [[070-experiencesipv6:030-prefixes_secondaires|Les préfixes secondaires en IPv6]],
   - assurer qu'il soit protégé des agressions de l'extérieur, LAN orange compris, sur ses services DHCP et DNS,
@@ Ligne 66: / Ligne 64: @@
 ==== La table «Mangle» ====
 Initialement utilisable seulement sur les poignées PREROUTING et OUTPUT, son champ d'action a été par la suite étendu aux autres poignées. Les règles inscrites dans cette table sont destinées à faire du marquage de paquets. C'est une fonctionnalité plutôt spécifique à des cas complexes que nous ne développerons pas davantage ici.
+===== Synthèse =====
+Tout ceci peut paraître indigeste à première vue et ça l'est même à seconde vue d'ailleurs. Sans trop chercher à entrer dans des cas d'usage, faisons le point.
+  - Lorsqu'un paquet entre par une quelconque interface (''enp1s0'' ou ''enp7s0''  dans notre exemple), avec la poignée 1 (Prerouting), il est possible de faire passer le paquet par une série de filtres qui décideront de ce qu'il faut faire avec. Le plus souvent, placer une marque, changer une adresse, un port...
+  - suivant la décision de routage qui suit (le paquet concerne-t-il **après Prerouting)** un porcess local ou non ?), le paquet sera:
+      - dirigé directement vers la sortie et dans ce cas, il devra subir le jugement des filtres placés par la poignée 3 (Forwarding) qui à leur tour pourront bricoler le paquet ou même le rejeter,
+      - dirigé vers un process local, mais avant de l'atteindre, il devra subir les directives accrochées à la poignée 2 (Input). Quel qu'en soit la raison, si  le process local génère une sortie, celle-ci va se taper l'inspection des règles accrochées à la poignée 4 (Output) avant d'y appliquer les décisions de routages (le paquet sortant est-il destiné au réseau local ou à un autre réseau ?)
+    - Dans un cas comme dans l'autre, le paquet va encore être inspecté par les filtres accrochés à la poignée 5 (Postrouting) où il pourra encore être bricolé avant d'enfin sortir vers sa destination finale qui, suivant le cas sera aiguillé vers ''enp1s0'' ou ''enp7s0'' dans notre exemple.