Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux Guide de reference - Diff�rences entre iptables et ipchains

18.2. Diff�rences entre iptables et ipchains

Au premier abord, ipchains et iptables semblent assez similaires. Les deux m�thodes de filtrage de paquets font appel � des cha�nes de r�gles actives � l'int�rieur du noyau Linux pour d�cider du traitement des paquets qui r�pondent � certaines r�gles. Cependant, la commande iptables repr�sente une mani�re plus flexible de filtrer les paquets en donnant � l'administrateur un degr� de contr�le plus �lev�, sans pour autant ajouter un degr� plus �lev� de complexit�.

Ainsi, les utilisateurs � l'aise avec la commande ipchains devront tenir compte des diff�rences importantes qui existent entre les commandes ipchains et iptables, avant d'essayer de se servir d'iptables�:

  • Sous iptables, chaque paquet filtr� est trait� en utilisant les r�gles d'une seule cha�ne, plut�t que celles de cha�nes multiples. Par exemple, un paquet identifi� comme FORWARD p�n�trant dans un syst�me � l'aide de ipchains devrait passer � travers les cha�nes INPUT, FORWARD et OUTPUT afin de pouvoir poursuivre sa progression vers sa destination. Toutefois, iptables envoie les paquets uniquement � la cha�ne INPUT s'ils sont destin�s au syst�me local et les envoie seulement � la cha�ne OUTPUT, s'ils ont �t� cr��s par le syst�me local. Pour cette raison, il est tr�s important de bien placer la r�gle destin�e au contr�le d'un paquet sp�cifique dans la r�gle qui effectue le traitement proprement dit du paquet.

  • La cible DENY a �t� remplac�e par la cible DROP. Dans ipchains, les paquets qui r�pondaient aux crit�res d'une r�gle pr�sente dans une cha�ne pouvaient �tre dirig�s vers la cible DENY. Cette cible doit �tre remplac�e par une cible DROP iptables.

  • Lorsque des options sont plac�es dans une r�gle, l'ordre est important. Avec ipchains, l'ordre des options s'appliquant aux r�gles n'est pas important. La commande iptables elle, utilise une syntaxe plus stricte. Ainsi, dans les commandes iptables le protocole sp�cifique (ICMP, TCP ou UDP) doit �tre pr�cis� avant les ports d'origine ou de destination.

  • Lorsque le type d'interface r�seau � utiliser dans une r�gle est pr�cis�, seules des interfaces entrantes (option -i) peuvent �tre employ�es avec les cha�nes INPUT ou FORWARD et des interfaces sortantes (option -o) avec les cha�nes FORWARD ou OUTPUT. Ceci est n�cessaire d'une part parce que les cha�nes OUTPUT ne sont plus utilis�es par les interfaces entrantes et d'autre part, parce que les cha�nes INPUT ne sont pas vues par les paquets traverant des interfaces sortantes.

Les informations fournies ci-dessus ne constituent en aucun cas une liste compl�te des changements apport�s car iptables est en fait un filtre r�seau qui a enti�rement �t� r��crit. Pour obtenir des informations plus sp�cifiques, reportez-vous au document Linux Packet Filtering HOWTO r�f�renc� dans la Section 18.7 (HOWTO Filtrage de paquets r�seau sous Linux).

 
 
  Published under the terms of the GNU General Public License Design by Interspire