Mandataires transparents Distribution et équilibrage
Les iptables Linux — précis & concis
22
Mandataires transparents
Les mandataires transparents (transparent proxy) permettent
d’intercepter certaines connexions sortantes et de les rediriger
vers un ordinateur qui va les gérer à la place de la machine cible
originale. Cette technique permet de créer des mandataires
(proxy) pour certains services sans pour autant avoir besoin de
configurer chaque ordinateur du réseau interne. Comme tout le
trafic vers le monde extérieur passe par la passerelle, toutes les
connexions sur un port donné seront traitées de manière trans-
parente.
Si vous avez configuré un mandataire HTTP (comme Squid, par
exemple) de sorte à ce qu’il se comporte comme un mandataire
transparent sur votre machine pare-feu et qu’il écoute sur le port
8888, vous pouvez ajouter une règle pour rediriger les con-
nexions HTTP sortantes vers ce dernier grâce à la commande
suivante :
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80
-j REDIRECT --to-port 8888
La mise en place d’un mandataire transparent est en revanche
bien plus compliquée si le service doit tourner sur un autre hôte.
Vous pourrez trouver de plus amples informations sur la mise en
place de Squid dans le guide de Daniel Kiracofe intitulé
« Transparent Proxy with Linux and Squid mini-HOWTO » et
disponible depuis le site du LDP (Linux Documentation Project,
http://www.tldp.org/HOWTO/TransparentProxy.html).
Distribution et équilibrage de charge
Vous pouvez distribuer la charge vers un certain nombre d’hôtes
grâce aux extensions de correspondance nth et de cible DNAT.
L’équilibrage de charge est une sorte de distribution de charge
intelligente qui implique l’utilisation de statistiques de montées
en charge des différents hôtes afin de sélectionner de manière
plus fine les hôtes vers lesquels les paquets seront envoyés et de
les maintenir ainsi à un niveau de charge égal.
_iptables.book Page 22 Lundi, 8. novembre 2004 6:33 18
Introduction
23
Pare-feu à état et sans état
Un pare-feu est une passerelle qui restreint le trafic sur le réseau
auquel il est connecté.
Les pare-feu sans état utilisent des règles simples ne nécessitant
pas de suivi de connexion ou d’état, comme par exemple la cor-
respondance de certaines adresses et/ou ports source et destina-
tion de certains protocoles.
Les pare-feu à état permettent un traitement plus évolué des
paquets et impliquent un suivi des connexions et des états, il peut
s’agir, par exemple, de garder une trace de l’activité réseau de
chaque hôte ou de chaque connexion (iplimit, limit ou
d’autres extensions de correspondance).
iptables permet de créer des règles des deux types (mais reportez-
vous à l’avertissement se trouvant dans la section Traduction
d’adresses réseau, page 19).
Outils complémentaires
De nombreux utilitaires réseaux peuvent fournir une aide consi-
dérable lorsqu’il s’agit de régler des problèmes relatifs au pare-
feu ou au trafic sur le réseau. Le tableau 14 en fournit une liste
non exhaustive des outils les plus couramment employés.
Tableau 14. Quelques outils complémentaires
Outil Description
ethereal Analyseur de protocole réseau. http://www.
ethereal.com/
Nessus Analyseur de sécurité de machine/réseau
distant(e). http://www.nessus.org/intro.html
nmap Exploration et audit de réseaux. http://www.
insecure.org/nmap/
ntop Sonde et analyseur de trafic réseau.
http://ntop.ethereal.com/ntop.html
ping Envoi de paquet ICMP ECHO_REQUEST.
_iptables.book Page 23 Lundi, 8. novembre 2004 6:33 18
Les iptables Linux — précis & concis
24
Référence de la commande iptables
La plupart des commandes d’iptables peuvent être regroupées en
sous-commandes et règles de correspondance. Le tableau 15
décrit les options qui ne peuvent faire l’objet d’une telle classifi-
cation.
tcpdump Capture de paquets (renifleur). http://www-
nrg.ee.lbl.gov/
traceroute Trace la route empruntée par les paquets
pour atteindre un certain hôte.
Tableau 15. Quelques options
Option Description
-c nbPaquets nbOctets En conjonction avec les sous-commandes
-A, -I ou -R, règle respectivement la valeur
des compteurs de paquets et d’octets d’une
nouvelle règle (ou d’une règle modifiée) sur
nbPaquets et nbOctets.
--exact Synonyme de -x.
-h Affiche la liste des commandes iptables.
Utilisé après -m correspondance ou -j
cible, provoque également l’affichage de
l’aide relative à l’extension de
correspondance ou de cible respectivement.
--help Synonyme de -h.
-j cible [options]Détermine le sort des paquets
correspondant à la règle. La cible peut être
le nom d’une chaîne utilisateur, l’une des
cibles par défaut ou encore une extension
iptables (auquel cas des options
supplémentaires peuvent être passées).
Tableau 14. Quelques outils complémentaires (suite)
Outil Description
_iptables.book Page 24 Lundi, 8. novembre 2004 6:33 18
Référence de la commande iptables
25
--jump Synonyme de -j.
--line-numbers Utilisée en conjonction avec la sous-
commande -L, affiche le numéro de chaque
règle de chaque chaîne qui pourra alors
servir de référence (c’est-à-dire d’index) lors
de leur insertion (via -I) ou suppression
(via -D) d’une chaîne.
-m correspondance
[options]
Invoque une correspondance étendue, avec
possibilité d’options supplémentaires.
--match Synonyme de -m.
-M cmd Utilisée pour charger un module iptables
(avec de nouvelles cibles ou extensions de
correspondance) lors de l’insertion ou le
remplacement de règles.
--modprobe=cmd Synonyme de -M.
-n Affiche les adresses et les ports sous forme
numérique sans essayer de résoudre les
noms de domaine et de services
correspondants. Cette option est
particulièrement utile lorsque votre DNS
est lent ou en panne.
--numeric Synonyme de -n.
--set-counters Synonyme de -c.
-t table La sous-commande affecte la table passée en
argument. Si cette option n’est pas utilisée,
la sous-commande affectera par défaut la
table filter.
--table Synonyme de -t.
-v Provoque l’affichage verbeux.
--verbose Synonyme de -v.
-x Affiche les valeurs exactes des compteurs de
paquets et d’octets au lieu de leur forme
abrégé sous forme métrique (K, M ou G).
Tableau 15. Quelques options (suite)
Option Description
_iptables.book Page 25 Lundi, 8. novembre 2004 6:33 18
1
/
4
100%
