1* table NAT

- translation de ports et d'ip

- deux locations
+ PREROUTING : amont pare-feu
+ POSTROUTING : aval pare-feu
- 3 targets :
+ DNAT : IP destination
+ SNAT : IP source
+ MASQUERADE : simule une gateway

2* table filter
- 3 chaines :
+ INPUT : les entrants
+ OUTPUT : les sortants
+ FORWARD : les passants
- 4 targets :
+ DROP : refus brut des paquets sans retour
+ ACCEPT : accepte les paquets
+ REJECT : rejet avec retour a l'expediteur
+ DENY : ?LOG : logger les paquets sur la sortie standard

3* table mangle : modification du paquets

- 5 targets :
+ TOS : type de service
+ TTL : dure de vie
+ MARK : marquer les paquets (taggage)
+ SECMARK : marquage de securite (SE linux)
+ CONNSECMARK : copie d'un cas de securite

iptables -L : lister les regles (-- line-numbers : numero du regles)

-t : type (NAT...)

-A : ajout de regle
-D : suppression de regle
-R : remplacer la regle
-I : insertion d'une regle
-F : flush les regles (suppression tous les regles d'une chaine)
-N : creation du chaine
-X : drop de chaine
-P : definition de la policy d'une chaine (par defaut - ex: -P INPUT DROP)

-p : protocole
-s : la source
-j : action a faire (DROP/ACCEPT)
-d : la destination
-i : interface d'entrees
-o : interface de sortie
--sport : port source
--dport : destination port
-m multiport --sport 80,443 : plusieurs port
-t : type (NAT...)
$iptables -I INPUT -p icmp --icmp-type 8 -j DROP
$iptables -L
==> bloquer icmp request d'ou nous pouvons pinguer l'autres machines mais l'inverse
non
pour bloquer l'autre sens du ping il faut droper le type 0 du icmp

$iptables -I INPUT -p tcp --dport 8000 -j DROP

$iptables -I INPUT -s 10.1.10.19 -p tcp -dport 8000 -