Content-type: text/html

<HTML><HEAD><TITLE>Manpage of IPTABLES</TITLE>
</HEAD><BODY>
<H1>IPTABLES</H1>
Section:  (8)<BR>Updated: 9 mars 2002<BR><A HREF="#index">Index</A>
<A HREF="../index.html">Return to Main Contents</A><HR>
























<A NAME="lbAB">&nbsp;</A>
<H2>NOM</H2>

iptables - outil d'administration pour le filtrage de paquets IPv4 et le NAT
<A NAME="lbAC">&nbsp;</A>
<H2>RÉSUMÉ</H2>

<B>iptables [-t table] -[AD] </B>chaîne règle [options]

<BR>

<B>iptables [-t table] -I </B>chaîne [numéro-de-règle] règle [options]

<BR>

<B>iptables [-t table] -R </B>chaîne numéro-de-règle règle [options]

<BR>

<B>iptables [-t table] -D </B>chaîne numéro-de-règle [options]

<BR>

<B>iptables [-t table] -[LFZ] </B>[chaîne] [options]

<BR>

<B>iptables [-t table] -N </B>chaîne

<BR>

<B>iptables [-t table] -X </B>[chaîne]

<BR>

<B>iptables [-t table] -P </B>chaîne cible [options]

<BR>

<B>iptables [-t table] -E </B>ancien-nom-de-chaîne nouveau-nom-de-chaîne

<A NAME="lbAD">&nbsp;</A>
<H2>DESCRIPTION</H2>

<B>iptables</B>

est utilisé pour mettre en place, maintenir et inspecter les tables
des règles de filtrage des paquets IP du noyau Linux. Différentes tables
peuvent être définies. Chaque table contient plusieurs chaînes
prédéfinies et peut aussi contenir des chaînes définies par l'utilisateur.
<P>
Chaque chaîne est une liste de règles que peuvent vérifier un ensemble
de paquets&nbsp;; dans ce cas, on dit qu'on cherche à établir une correspondance
avec la règle. Chaque règle détermine ce qui doit être fait avec un
paquet qui correspond. Cette action est appellée une «cible», qui peut
être un saut vers une chaîne définie par l'utilisateur dans la même table.
<P>
<A NAME="lbAE">&nbsp;</A>
<H2>CIBLES</H2>

Une règle de pare-feu spécifie des critères de correspondance pour
un paquet, et une cible. Si le paquet ne correspond pas, la
règle suivante de la chaîne est examinée&nbsp;; s'il correspond, 
la règle suivante est déterminée par la valeur de la cible, qui
peut être le nom d'une chaîne définie par l'utilisateur ou l'une
des valeurs spéciales suivantes&nbsp;:
<I>ACCEPT</I>,

<I>DROP</I>,

<I>QUEUE</I>

ou
<I>RETURN</I>.

<P>

<I>ACCEPT</I>

signifie que le paquet est autorisé à passer.
<I>DROP</I>

signifie que le paquet est détruit.
<I>QUEUE</I>

signifie que le paquet est transmis à l'espace utilisateur (si
cette option est reconnue par le noyau).
<I>RETURN</I>

signifie que l'on cesse de parcourir cette chaîne pour retourner dans
la chaîne précédente (appelante) en passant à la règle suivante.
Si on atteint la fin d'une chaîne prédéfinie ou s'il y a correspondance
avec une règle dans une chaîne prédéfinie ayant pour cible
<I>RETURN</I>,

la cible désignée par le comportement par défaut de la chaîne
détermine le sort du paquet.
<A NAME="lbAF">&nbsp;</A>
<H2>TABLES</H2>

Il y a actuellement trois tables indépendantes (le moment où sont
présentes les tables dépend des options de configuration du noyau
et des modules chargés).
<DL COMPACT>
<DT><B>-t, --table </B><I>table</I>

<DD>
Cette option désigne la table de correspondance des paquets sur laquelle
la commande doit opérer. Si le noyau est configuré avec le chargement
automatique des modules, une tentative sera faite pour charger le module
approprié pour cette table, si ce n'est pas déjà fait.
<P>
Les tables sont les suivantes&nbsp;:
<DL COMPACT><DT><DD>
<DL COMPACT>
<DT><B>filter&nbsp;:</B>

<DD>
C'est la table par défaut (si l'option -t est omise). Elle contient
les chaînes prédéfinies
<B>INPUT</B>

(pour les paquets entrants dans la machine),
<B>FORWARD</B>

(pour les paquets routés à travers la machine) et
<B>OUTPUT</B>

(pour les paquets générés localement).
<DT><B>nat&nbsp;:</B>

<DD>
Cette table est consultée lorsqu'on rencontre un paquet qui crée une
nouvelle connexion. La table est composée de trois chaînes prédéfinies&nbsp;:
<B>PREROUTING</B>

(pour modifier les paquets dès qu'ils entrent),
<B>OUTPUT</B>

(pour modifier les paquets générés localement, avant le routage) et
<B>POSTROUTING</B>

(pour modifier les paquets lorsqu'ils sont sur le point de sortir).
<DT><B>mangle&nbsp;:</B>

<DD>
Cette table est employée pour effectuer une modification spéciale des paquets.
Jusqu'au noyau 2.4.17, elle offrait deux chaînes prédéfinies&nbsp;:
<B>PREROUTING</B>

(pour modifier les paquets entrants, avant le routage) et
<B>OUTPUT</B>

(pour modifier les paquets générés localement, avant le routage).
Depuis le noyau 2.4.18, trois autres chaînes prédéfinies sont aussi
prises en charge&nbsp;:
<B>INPUT</B>

(pour les paquets entrants, destinés à la machine elle-même),
<B>FORWARD</B>

(pour modifier les paquets routés à travers la machine) et
<B>POSTROUTING</B>

(pour modifier les paquets lorsqu'ils sont sur le point de sortir).
</DL>
</DL>

</DL>
<A NAME="lbAG">&nbsp;</A>
<H2>OPTIONS</H2>

Les options reconnues par
<B>iptables</B>

peuvent être réparties en plusieurs groupes.
<A NAME="lbAH">&nbsp;</A>
<H3>COMMANDES</H3>

Ces options précisent une action particulière à accomplir. Une seule
option peut être indiquée sur la ligne de commande, sauf indication
contraire. Pour tous les noms en version longue des commandes et des options,
vous avez le droit d'utiliser un nombre restreint de lettres du moment qu'
<B>iptables</B>

peut identifier chaque commande sans ambiguïté.
<DL COMPACT>
<DT><B>-A, --append </B><I>chaîne règle</I>

<DD>
Ajoute une ou plusieurs règles à la fin de la chaîne sélectionnée.
Lorsque les noms source et/ou destination désignent plus d'une adresse,
une règle sera ajoutée pour chaque combinaison d'adresses possible.
<DT><B>-D, --delete </B><I>chaîne règle</I>

<DD>

<DT><B>-D, --delete </B><I>chaîne numéro-de-règle</I>

<DD>
Efface une ou plusieurs règles de la chaîne sélectionnée. Il y a deux
versions de cette commande&nbsp;: on peut désigner la règle par sa position
dans la chaîne avec un numéro (commençant à 1 pour la première règle)
ou bien par une règle de correspondance avec sa syntaxe exacte.
<DT><B>-I, --insert </B><I>chaîne</I> [<I>numéro-de-règle</I>] <I>règle</I>

<DD>
Insère une ou plusieurs règles dans la chaîne sélectionnée à la position
donnée par le numéro de règle. Si ce numéro est 1, la ou les règles
sont insérées au début de la chaîne. C'est le comportement par défaut
si aucun numéro n'est spécifié.
<DT><B>-R, --replace </B><I>chaîne numéro-de-règle règle</I>

<DD>
Remplace une règle dans la chaîne sélectionnée. Si les noms source
et/ou destination désignent de multiples adresses, la commande
échouera. Les règles sont numérotées en partant de 1.
<DT><B>-L, --list </B>[<I>chaîne</I>]

<DD>
Liste toutes les règles de la chaîne sélectionnée. Si aucune chaîne
n'est sélectionnée, toutes les chaînes sont listées. Comme toute commande,
elle s'applique à la table spécifiée (<B>filter</B> par défaut), ainsi les
règles de NAT sont listées avec
<PRE>
 iptables -t&nbsp;nat -n -L
</PRE>

Notez qu'on l'utilise souvent avec l'option <B>-n</B>, pour éviter de longues
résolutions DNS inverses.
Il est autorisé de spécifier simultanément l'option
<B>-Z</B>

(zéro), auquel cas la ou les chaînes seront automatiquement listées
et les compteurs remis à zéro. La sortie exacte dépend des autres arguments
fournis. Les règles complètes sont omises sauf si vous exécutez
<PRE>
 iptables -L -v
</PRE>

<DT><B>-F, --flush </B>[<I>chaîne</I>]

<DD>
Vide la chaîne sélectionnée (ou toutes les chaînes de la table si
aucune n'est précisée). Ceci équivaut à effacer toutes les règles
une par une.
<DT><B>-Z, --zero </B>[<I>chaîne</I>]

<DD>
Met à zéro le compteur de paquets et d'octets dans toutes les chaînes.
Il est autorisé d'associer l'option
<B>-L, --list</B>

(liste), pour visualiser les compteurs juste avant qu'ils ne soient
initialisés (voir ci-dessus).
<DT><B>-N, --new-chain </B><I>chaîne</I>

<DD>
Crée une nouvelle chaîne définie par l'utilisateur avec le nom indiqué.
Il ne doit pas déjà exister de cible de même nom.
<DT><B>-X, --delete-chain </B>[<I>chaîne</I>]

<DD>
Efface la chaîne désignée définie par l'utilisateur. Il ne doit plus
exister de référence à cette chaîne. S'il en reste, vous devez effacer
ou remplacer les règles concernées avant de pouvoir effacer cette
chaîne. Si aucun argument n'est fourni, une tentative aura lieu pour
effacer dans la table toutes les chaînes non prédéfinies.
<DT><B>-P, --policy </B><I>chaîne cible</I>

<DD>
Configure le comportement par défaut (la stratégie) de la chaîne
avec la cible fournie. Voir la section
<B>CIBLES</B>

pour connaître les cibles autorisées. Seules les chaînes prédéfinies
(donc non définies par l'utilisateur) peuvent avoir un comportement
par défaut, et ni les chaînes prédéfinies ni les chaînes définies
par l'utilisateur ne peuvent être des cibles stratégiques.
<DT><B>-E, --rename-chain </B><I>ancien-nom-de-chaîne nouveau-nom-de-chaîne</I>

<DD>
Renomme la chaîne définie par l'utilisateur spécifiée avec le nom
fourni. C'est un changement cosmétique qui n'a aucun effet sur la
structure de la table.
<DT><B>-h</B>

<DD>
Aide.
Donne une description (pour l'instant succincte) de la syntaxe d'une
commande.
</DL>
<A NAME="lbAI">&nbsp;</A>
<H3>PARAMÈTRES</H3>

Les paramètres suivants composent une spécification de règle (quand
ils sont utilisés dans les commandes <B>add</B>, <B>delete</B>, <B>insert</B>,
<B>replace</B> et <B>append</B>).
<DL COMPACT>
<DT><B>-p, --protocol </B>[!] <I>protocole</I>

<DD>
Protocole de la règle ou du paquet à vérifier. Le protocole spécifié
est l'un des suivants&nbsp;:
<I>tcp</I>,

<I>udp</I>,

<I>icmp</I>

ou
<I>all</I>,

ou bien sous forme d'une valeur numérique, représentant un de ces
protocoles ou un protocole différent. Un nom de protocole issu du
fichier /etc/protocols est aussi autorisé. Un «!» avant le protocole
inverse le test. La valeur zéro est équivalente à
<I>all</I>.

Le protocole
<I>all</I>

correspond à tous les protocoles&nbsp;; c'est aussi la valeur par défaut
lorsque cette option est omise.
<DT><B>-s, --source </B>[!] <I>adresse</I>[/<I>masque</I>]

<DD>
Spécification de la source. L'<I>adresse</I>
peut être un nom de réseau, un nom d'hôte (attention&nbsp;: spécifier
un nom à résoudre avec une requête distante de type DNS est vraiment
une mauvaise idée), une adresse de réseau IP (avec /masque) ou une
simple adresse IP.
Le
<I>masque</I>

peut être un masque de réseau ou un nombre entier spécifiant le nombre
de bits égaux à 1 dans la partie gauche du masque de réseau (bits de
poids fort). Par conséquent, un masque de
<I>24</I>

est équivalent à
<I>255.255.255.0</I>.

Un «!» avant la spécification d'adresse inverse la sélection d'adresse.
L'option 
<B>--src</B>

est un synonyme de --source.
<DT><B>-d, --destination </B>[!] <I>adresse</I>[/<I>masque</I>]

<DD>
Spécification de la destination. Voir la description du paramètre
<B>-s</B>

(source) pour une description détaillée de la syntaxe. L'option
<B>--dst</B>

est un synonyme de --destination.
<DT><B>-j, --jump </B><I>cible</I>

<DD>
Ceci détermine la cible de la règle&nbsp;; c'est-à-dire ce qu'il faut
faire si le paquet correspond à la règle. La cible peut être une chaîne
définie par l'utilisateur (autre que celle dans laquelle se situe
cette règle), une des cibles prédéfinies qui décide immédiatement du
sort du paquet, ou une extension (voir
<B>EXTENSIONS</B>

ci-dessous). Si cette option est omise dans une règle, la correspondance
d'un paquet avec la règle n'aura aucun effet sur le sort du paquet,
mais les compteurs seront incrémentés.
<DT><B>-i, --in-interface </B>[!] [<I>nom</I>]

<DD>
Nom de l'interface qui reçoit les paquets (seulement pour les paquets
passant par les chaînes 
<B>INPUT</B>,

<B>FORWARD</B>

et
<B>PREROUTING</B>).

Lorsqu'un «!» est utilisé avant le nom d'interface, la sélection
est inversée. Si le nom de l'interface se termine par un «+», il désigne
toutes les interfaces commençant par ce nom. Si cette option est omise,
toutes les interfaces réseau sont désignées.
<DT><B>-o, --out-interface </B>[!] [<I>nom</I>]

<DD>
Nom de l'interface qui envoie les paquets (seulement pour les paquets
passant par les chaînes
<B>FORWARD</B>,

<B>OUTPUT</B>

et
<B>POSTROUTING</B>).

Lorsqu'un «!» est utilisé avant le nom d'interface, la sélection
est inversée. Si le nom de l'interface se termine par un «+», il désigne
toutes les interfaces commençant par ce nom. Si cette option est omise,
toutes les interface réseau sont désignées.
<DT><B>[!]  -f, --fragment</B>

<DD>
Avec cette option, la règle s'applique seulement aux paquets fragmentés,
mais seulement à partir du deuxième fragment. Comme il est impossible
d'en déterminer les ports source ou destination (ou le type ICMP),
aucune règle ne pourra établir de correspondance sur ces critères.
Lorsqu'un «!» précède l'option «-f», la règle ne s'applique qu'aux
fragments d'en-tête ou aux paquets non fragmentés.
<DT><B>-c, --set-counters </B><I>paquets octets</I>

<DD>
Ceci autorise l'administrateur à initialiser les compteurs de paquets
et d'octets d'une règle (lors des opérations
<B>INSERT,</B>

<B>APPEND,</B>

<B>REPLACE</B>).

</DL>
<A NAME="lbAJ">&nbsp;</A>
<H3>AUTRES OPTIONS</H3>

Les options supplémentaires suivantes peuvent être employées&nbsp;:
<DL COMPACT>
<DT><B>-v, --verbose</B>

<DD>
Sortie verbeuse. Cette option indique à la commande <B>--list</B> d'afficher
le nom de l'interface, les options de la règle (s'il y en a) et les
masques de TOS (type de service). Les compteurs de paquets et d'octets
sont aussi affichés, avec les suffixes 'K', 'M' ou 'G' qui multiplient
respectivement par 1&nbsp;000, 1&nbsp;000&nbsp;000 et 1&nbsp;000&nbsp;000&nbsp;000 (mais vous
pouvez affiner ça avec l'option <B>-x</B>).
Pour les ajouts, insertions, effacements et remplacements, sont
fournies des informations détaillées sur la ou les règles à afficher.
<DT><B>-n, --numeric</B>

<DD>
Sortie numérique. Les adresses IP et les numéros de ports sont affichés
au format numérique. Par défaut, le programme essaie de les afficher
sous forme de noms d'hôtes, de noms réseaux ou de services (lorsque
c'est applicable).
<DT><B>-x, --exact</B>

<DD>
Nombres étendus. Affiche la valeur exacte des compteurs de paquets et
d'octets, au lieu d'afficher un nombre arrondi avec K (multiple de 1&nbsp;000),
M (multiple de 1&nbsp;000K) ou G (multiple de 1&nbsp;000M). Cette option n'est
utile qu'avec la commande <B>-L</B>.
<DT><B>--line-numbers</B>

<DD>
Lorsque les règles sont listées, ceci ajoute un numéro de ligne au
début de chaque règle, équivalant à la position de cette règle dans
la chaîne.
<DT><B>--modprobe=commande</B>

<DD>
Lorsqu'on ajoute ou insère des règles dans une chaîne, utilisez la 
<B>commande</B>

pour charger les modules nécessaires (cibles, extensions de correspondance,
etc).
</DL>
<A NAME="lbAK">&nbsp;</A>
<H2>EXTENSIONS DE CORRESPONDANCE</H2>

<B>iptables</B> peut utiliser des modules additionnels de correspondance
de paquets. Ceux-ci peuvent être chargés de deux manières&nbsp;: implicitement,
lorsque
<B>-p</B>

ou
<B>--protocol</B>

est employé, ou avec l'option 
<B>-m</B>

ou <B>--match</B>,
suivie du nom du module de correspondance&nbsp;; après cela, des options
supplémentaires en ligne de commande deviennent disponibles, en fonction
du module. Vous pouvez spécifier plusieurs modules de correspondance
sur une même ligne, et utiliser l'option 
<B>-h</B>

ou
<B>--help</B>

après avoir spécifié le module, pour visualiser l'aide relative à
ce module.
<P>
Ce qui suit est inclus dans le paquetage de base et la plupart des
options peuvent être précédées par un
<B>!</B>

pour inverser la sélection.
<A NAME="lbAL">&nbsp;</A>
<H3>ah</H3>

Ce module cherche une correspondance avec les indices SPI présents
dans l'en-tête AH des paquets IPSec.
<DL COMPACT>
<DT><B>--ahspi </B>[!] <I>spi</I>[:<I>spi</I>]

<DD>
</DL>
<A NAME="lbAM">&nbsp;</A>
<H3>conntrack</H3>

Ce module, lorsqu'il est combiné avec du traçage de connexion, permet
d'accéder à davantage d'informations sur le traçage de connexion que
la correspondance «state» (ce module n'est disponible que si <B>iptables</B>
a été compilé avec un noyau acceptant cette particularité).
<DL COMPACT>
<DT><B>--ctstate </B><I>état-de-connexion</I>

<DD>
Le paramètre est une liste d'états de connexion (séparés par des virgules)
à vérifier. Les états possibles sont
<B>INVALID</B>

signifiant que le paquet n'est associé à aucune connexion connue,
<B>ESTABLISHED</B>

signifiant que le paquet est associé à une connexion qui a déjà vu
passer des paquets dans les deux sens,
<B>NEW</B>

signifiant soit que le paquet a initié une nouvelle connexion, soit
qu'il est associé à une connexion qui n'a pas vu passer de paquets
dans les deux sens, et
<B>RELATED</B>

signifiant que le paquet initie une nouvelle connexion, mais qu'il
est associé avec une connexion existante, comme un transfert de données
FTP ou une erreur ICMP.
<B>SNAT</B>

Un état virtuel, vérifié si l'adresse de source initiale diffère de
l'adresse de destination de la réponse.
<B>DNAT</B>

Un état virtuel, vérifié si l'adresse de destination initiale diffère
de l'adresse de source de la réponse.
<DT><B>--ctproto </B><I>protocole</I>

<DD>
Le protocole à vérifier (donné par le numéro ou le nom).
<DT><B>--ctorigsrc </B><I>[!] adresse</I>[/<I>masque</I>]

<DD>
Correspondance avec l'adresse de source initiale.
<DT><B>--ctorigdst </B><I>[!] adresse</I>[/<I>masque</I>]

<DD>
Correspondance avec l'adresse de destination initiale.
<DT><B>--ctreplsrc </B><I>[!] adresse</I>[/<I>masque</I>]

<DD>
Correspondance avec l'adresse de source de la réponse.
<DT><B>--ctrepldst </B><I>[!] adresse</I><B>[/</B><I>masque</I>]

<DD>
Correspondance avec l'adresse de destination de la réponse.
<DT><B>--ctstatus </B><I>[NONE|EXPECTED|SEEN_REPLY|ASSURED</I>][,...]

<DD>
Correspondance avec les états internes du module conntrack.
<DT><B>--ctexpire </B><I>temps</I>[<I>:temps</I>]

<DD>
Correspondance avec la durée de validité restante (en secondes) donnée
sous forme d'une valeur fixe ou d'un intervalle (bornes incluses).
</DL>
<A NAME="lbAN">&nbsp;</A>
<H3>dscp</H3>

Ce module cherche une correspondance avec le champ DSCP de 6 bits
dans le champ TOS de l'en-tête IP. DSCP a remplacé le TOS au sein
de l'IETF.
<DL COMPACT>
<DT><B>--dscp </B><I>valeur</I>

<DD>
Correspondance avec une valeur numérique [0-32] (sous forme décimale
ou hexa).
<DT><B>--dscp-class </B><I>Classe DiffServ</I>

<DD>
Correspondance avec la classe DiffServ. Cette donnée peut être une
des classes BE, EF, AFxx ou CSx. Elle pourra aussi être convertie
en sa valeur numérique équivalente.
</DL>
<A NAME="lbAO">&nbsp;</A>
<H3>esp</H3>

Ce module cherche une correspondance avec les indices SPI présents
dans l'en-tête ESP des paquets IPSec.
<DL COMPACT>
<DT><B>--espspi </B>[!] <I>spi</I>[:<I>spi</I>]

<DD>
</DL>
<A NAME="lbAP">&nbsp;</A>
<H3>helper</H3>

Ce module cherche une correspondance avec les paquets en relation
avec un module spécifique d'aide au traçage de connexion (module
conntrack-helper).
<DL COMPACT>
<DT><B>--helper </B><I>chaîne</I>

<DD>
Correspondance avec les paquets en relation avec le module d'aide au
traçage de connexion désigné.
<DL COMPACT><DT><DD>
<P>

La chaîne peut être «ftp» pour les paquets liés à une session FTP
sur le port par défaut. Pour d'autres ports, ajoutez -numérodeport
à la chaîne, par exemple «ftp-2121».
<P>

Les mêmes règles s'appliquent aux autres modules d'aide au traçage
de connexion.
</DL>

</DL>
<A NAME="lbAQ">&nbsp;</A>
<H3>icmp</H3>

Cette extension est chargée si «<B>--protocol </B><I>icmp</I>» est
spécifié. Elle procure l'option suivante&nbsp;:
<DL COMPACT>
<DT><B>--icmp-type </B>[!] <I>nom_du_type_icmp</I>

<DD>
Ceci autorise la spécification d'un type ICMP, soit avec un type ICMP
numérique, soit avec l'un des noms de type ICMP fourni par la commande
<PRE>
 iptables -p icmp -h
</PRE>

</DL>
<A NAME="lbAR">&nbsp;</A>
<H3>length</H3>

Ce module cherche une correspondance avec la longueur d'un paquet,
donnée par une valeur fixe ou un intervalle.
<DL COMPACT>
<DT><B>--length </B><I>longueur</I>[:<I>longueur</I>]

<DD>
</DL>
<A NAME="lbAS">&nbsp;</A>
<H3>limit</H3>

Ce module établit une correspondance avec les paquets en respectant
un débit limité, à l'aide d'un filtre à seau de jetons («token bucket
filter»). Une règle utilisant cette extension établira une correspondance
jusqu'à ce que cette limite soit atteinte (sauf si le «!» est employé).
Il peut être utilisé conjointement avec la cible <B>LOG</B>,
par exemple afin de limiter les messages de journalisation (log).
<DL COMPACT>
<DT><B>--limit </B><I>taux</I>

<DD>
Taux de correspondance moyen maximum&nbsp;: déterminé par un nombre, avec
un suffixe optionnel  «/second»,  «/minute»,  «/hour»,
ou  «/day»&nbsp;; la valeur par défaut est 3/hour.
<DT><B>--limit-burst </B><I>nombre</I>

<DD>
Nombre initial maximum de paquets pouvant correspondre&nbsp;: ce nombre
est rechargé de 1 chaque fois que la limite définie précédemment
n'est pas atteinte, jusqu'à retrouver la valeur initiale&nbsp;; la valeur
par défaut est 5.
</DL>
<A NAME="lbAT">&nbsp;</A>
<H3>mac</H3>

<DL COMPACT>
<DT><B>--mac-source </B>[!] <I>adresse</I>

<DD>
Établit une correspondance avec l'adresse MAC source. Elle doit être de la
forme XX:XX:XX:XX:XX:XX. Notez que ceci n'a de sens que pour les paquets
en provenance d'une interface Ethernet et passant par les chaînes
<B>PREROUTING</B>,

<B>FORWARD</B>

ou
<B>INPUT</B>.

</DL>
<A NAME="lbAU">&nbsp;</A>
<H3>mark</H3>

Ce module cherche une correspondance avec le champ de marquage de
Netfilter associé à un paquet (celui-ci peut être positionné en
utilisant la cible
<B>MARK</B>

décrite ci-dessous).
<DL COMPACT>
<DT><B>--mark </B><I>valeur</I>[/<I>masque</I>]

<DD>
Établit une correspondance avec les paquets associés à la valeur de
marquage non-signée fournie (si un masque est spécifié, on effectue
un ET logique avec le masque avant la comparaison).
</DL>
<A NAME="lbAV">&nbsp;</A>
<H3>multiport</H3>

Ce module cherche les correspondances avec un ensemble de ports source
ou destination. On peut spécifier jusqu'à 15 ports. Il ne peut être 
utilisé qu'en conjonction avec
<B>-p tcp</B>

ou
<B>-p udp</B>.

<DL COMPACT>
<DT><B>--source-ports </B><I>port</I>[,<I>port</I>[,<I>port</I>...]]

<DD>
Établit la correspondance si le port source est l'un des ports
spécifiés. Et
<B>--sports</B>

est un synonyme commode pour cette option.
<DT><B>--destination-ports </B><I>port</I>[,<I>port</I>[,<I>port</I>...]]

<DD>
Établit la correspondance si le port destination est l'un des ports
spécifiés. Et
<B>--dports</B>

est un synonyme commode pour cette option.
<DT><B>--ports </B><I>port</I>[,<I>port</I>[,<I>port</I>...]]

<DD>
Établit la correspondance si les ports source et destination
sont identiques, et égaux à l'un des ports spécifiés.
</DL>
<A NAME="lbAW">&nbsp;</A>
<H3>owner</H3>

Ce module tente d'établir une correspondance avec différentes
caractéristiques du créateur d'un paquet, pour les paquets générés
localement. Il est valide uniquement dans la chaîne
<B>OUTPUT</B>,

et même si certains paquets sans propriétaire (comme les réponses
ICMP d'un ping) ne correspondront jamais.
<DL COMPACT>
<DT><B>--uid-owner </B><I>id_utilisateur</I>

<DD>
Établit une correspondance si le paquet a été créé par un processus
avec l'identifiant d'utilisateur donné.
<DT><B>--gid-owner </B><I>id_de_groupe</I>

<DD>
Établit une correspondance si le paquet a été créé par un processus
avec l'identifiant de groupe donné.
<DT><B>--pid-owner </B><I>id_du_processus</I>

<DD>
Établit une correspondance si le paquet a été créé par un processus
avec le numéro de processus donné.
<DT><B>--sid-owner </B><I>id_de_session</I>

<DD>
Établit une correspondance si le paquet a été créé par un processus
dans le groupe de session donné.
<DT><B>--cmd-owner </B><I>nom_de_commande</I>

<DD>
Établit une correspondance si le paquet a été créé par un processus
avec le nom de commande donné (cette option n'est disponible que si
<B>iptables</B> a été compilé avec un noyau acceptant cette particularité).
</DL>
<A NAME="lbAX">&nbsp;</A>
<H3>physdev</H3>

Ce module cherche une correspondance sur un port de pont avec les
dispositifs d'entrée/sortie attachés à ce pont. Ce module fait partie
de l'infrastructure qui permet d'avoir un pare-feu IP transparent sur
un pont et n'est utile que pour les versions de noyaux supérieures
à 2.5.44.
<DL COMPACT>
<DT><B>--physdev-in nom_de_port</B>

<DD>
Nom d'un port de pont par lequel un paquet est reçu (seulement pour
les paquets entrant dans les chaînes
<B>INPUT</B>,

<B>FORWARD</B>

et
<B>PREROUTING</B>).

Si le nom de l'interface se termine par un «+», il désigne toutes
les interfaces commençant par ce nom. Si le paquet ne provient pas
d'un pont, ce paquet ne correspondra pas avec cette option, sauf si
un «!» est employé.
<DT><B>--physdev-out nom_de_port</B>

<DD>
Nom d'un port de pont par lequel un paquet est prêt à être envoyé
(seulement pour les paquets entrant dans les chaînes
<B>FORWARD</B>,

<B>OUTPUT</B>

et
<B>POSTROUTING</B>).

Si le nom de l'interface se termine par un «+», il désigne toutes
les interfaces commençant par ce nom. Notez que dans les chaînes
<B>OUTPUT</B>

des tables
<B>nat</B> et <B>mangle</B>,
aucune règle ne peut correspondre sur un port de sortie de pont, mais
que c'est possible dans la chaîne
<B>OUTPUT</B>

de la table
<B>filter</B>.

Si un paquet ne sort pas par un pont ou si l'on ne sait pas encore
quel est le dispositif de sortie, le paquet ne correspondra
pas avec cette option, sauf si un «!» est employé.
<DT><B>--physdev-is-in</B>

<DD>
Établit une correspondance si le paquet est entré par une interface
de pont.
<DT><B>--physdev-is-out</B>

<DD>
Établit une correspondance si le paquet sort par une interface de pont.
<DT><B>--physdev-is-bridged</B>

<DD>
Établit une correspondance si le paquet est prêt à traverser un pont
et ne sera donc pas routé. Ce n'est utile que pour les chaînes FORWARD
et POSTROUTING.
</DL>
<A NAME="lbAY">&nbsp;</A>
<H3>pkttype</H3>

Ce module cherche une correspondance avec le type du paquet de la
couche liaison de données.
<DL COMPACT>
<DT><B>--pkt-type </B><I>[unicast</I>|<I>broadcast</I>|<I>multicast</I>]

<DD>
</DL>
<A NAME="lbAZ">&nbsp;</A>
<H3>state</H3>

Ce module, lorsqu'il est associé avec du traçage de connexion, permet
d'accéder à l'état du traçage de connexion pour ce paquet.
<DL COMPACT>
<DT><B>--state </B><I>état-de-connexion</I>

<DD>
Le paramètre est une liste d'états de connexion (séparés par des
virgules) avec lesquels on cherche une correspondance. Les états
possibles sont
<B>INVALID</B>

signifiant que le paquet ne peut être identifié pour une raison
quelconque comme une exécution avec mémoire insuffisante et des
erreurs ICMP ne correspondant à aucune connexion connue,
<B>ESTABLISHED</B>

signifiant que le paquet est associé à une connexion qui a vu passer
des paquets dans les deux sens,
<B>NEW</B>

signifiant que le paquet a initié une nouvelle connexion, ou bien
qu'il est associé à une connexion qui n'a pas vu passer de paquets
dans les deux sens, et
<B>RELATED</B>

signifiant que le paquet initie une nouvelle connexion, mais qu'il est
associé à une connexion existante, comme un transfert de données
FTP ou une erreur ICMP.
</DL>
<A NAME="lbBA">&nbsp;</A>
<H3>tcp</H3>

Ces extensions sont chargées si l'option «--protocol&nbsp;tcp»
est spécifiée. Elle procure les options suivantes&nbsp;:
<DL COMPACT>
<DT><B>--source-port </B>[!] <I>port</I>[:<I>port</I>]

<DD>
Spécification d'un port source ou d'un intervalle de ports. Ce peut
être le nom d'un service ou le numéro d'un port. Un intervalle (bornes
incluses) peut aussi être défini en utilisant le format suivant
<I>port</I>:<I>port</I>.

Si le premier port est omis, on considère que c'est «0»&nbsp;; si le
dernier port est omis, on considère que c'est «65535». Si le second
port est plus petit que le premier, ils seront intervertis. Et
<B>--sport</B>

est un synonyme commode pour cette option.
<DT><B>--destination-port </B>[!] <I>port</I>[:<I>port</I>]

<DD>
Spécification d'un port destination ou d'un intervalle de ports. Et
<B>--dport</B>

est un synonyme commode pour cette option.
<DT><B>--tcp-flags </B>[!] <I>masque</I> <I>comp</I>

<DD>
Établit une correspondance lorsque les fanions TCP («TCP flags»)
coïncident avec ceux spécifiés. Le premier argument identifie les
fanions à examiner (sous la forme d'un liste de fanions séparés par
des virgules) et le deuxième argument identifie les fanions devant
être positionnés (toujours sous la forme d'une liste de fanions séparés
par des virgules). Les fanions sont&nbsp;: 
<B>SYN ACK FIN RST URG PSH ALL NONE</B>.

Par conséquent, la commande
<PRE>
 iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN
</PRE>

ne sélectionnera que les paquets ayant le fanion SYN positionné mais
également les fanions ACK, FIN et RST désactivés.
<DT><B>[!] --syn</B>

<DD>
Établit une correspondance seulement avec les paquets TCP dont le
bit SYN est positionné et les bits ACK et RST sont désactivés. De
tels paquets sont utilisés pour les requêtes d'établissement de connexion
TCP&nbsp;; par exemple, si l'on bloque ce type de paquets entrants sur
une interface, on empêchera les connexions TCP entrantes, mais les
connexions TCP sortantes ne seront pas affectées.
C'est équivalent à <B>--tcp-flags SYN,RST,ACK SYN</B>.
Si le signe «!» précède le «--syn», la sélection est inversée.
<DT><B>--tcp-option </B>[!] <I>numéro</I>

<DD>
Établit une correspondance si l'option TCP indiquée est positionnée.
<DT><B>--mss </B><I>valeur</I>[:<I>valeur</I>]

<DD>
Établit une correspondance avec les paquets TCP de type SYN ou SYN/ACK
caractérisés par la valeur ou l'intervalle MSS spécifié, contrôlant
la taille maximale du paquet pour cette connexion.
</DL>
<A NAME="lbBB">&nbsp;</A>
<H3>tos</H3>

Ce module cherche une correspondance avec les 8&nbsp;bits du champ Type
de Service (TOS) dans l'en-tête IP (ceci inclut les bits de priorité).
<DL COMPACT>
<DT><B>--tos </B><I>type_de_service</I>

<DD>
Cet argument à détecter est soit un nom standard (utiliser
<BR>

<BR>&nbsp;iptables&nbsp;-m&nbsp;tos&nbsp;-h
<BR>

pour afficher la liste), soit une valeur numérique.
</DL>
<A NAME="lbBC">&nbsp;</A>
<H3>ttl</H3>

Ce module cherche une correspondance avec le champ de durée de validité
(«Time To Live» ou TTL) de l'en-tête IP.
<DL COMPACT>
<DT><B>--ttl </B><I>valeur_ttl</I>

<DD>
Établit une correspondance avec la valeur TTL donnée.
</DL>
<A NAME="lbBD">&nbsp;</A>
<H3>udp</H3>

Ces extensions sont chargées si «--protocol udp» est spécifié. Elles
procurent les options suivantes&nbsp;:
<DL COMPACT>
<DT><B>--source-port </B>[!] <I>port</I>[:<I>port</I>]

<DD>
Spécification d'un port source ou d'un intervalle de ports.
Voir la description de l'option 
<B>--source-port</B>

de l'extension TCP pour obtenir des précisions.
<DT><B>--destination-port </B>[!] <I>port</I>[:<I>port</I>]

<DD>
Spécification d'un port destination ou d'un intervalle de ports.
Voir la description de l'option
<B>--destination-port</B>

de l'extension TCP pour obtenir des précisions.
</DL>
<A NAME="lbBE">&nbsp;</A>
<H3>unclean</H3>

Ce module n'a aucune option, mais il tente d'établir une correspondance
avec les paquets qui semblent mal formés ou inhabituels. Cette option
est considérée comme expérimentale.
<A NAME="lbBF">&nbsp;</A>
<H2>EXTENSIONS DE CIBLE</H2>

<B>iptables</B> peut utiliser des modules de cible additionnels&nbsp;: les
suivants sont inclus dans la distribution standard.
<A NAME="lbBG">&nbsp;</A>
<H3>DNAT</H3>

Cette cible est seulement valide dans la table 
<B>nat</B>,

dans les chaînes 
<B>PREROUTING</B>

et
<B>OUTPUT</B>,

et dans les chaînes définies par l'utilisateur appelées par celles-ci.
Elle spécifie que l'adresse de destination du paquet doit être modifiée
(comme toutes celles des paquets à venir dans le cadre de cette connexion),
et que les règles doivent cesser d'être examinées. Elle accepte une option&nbsp;:
<DL COMPACT>
<DT><B>--to-destination </B><I>adresse-ip</I>[-<I>adresse-ip</I>][:<I>port</I>-<I>port</I>]

<DD>
qui peut définir une nouvelle et unique adresse IP de destination,
un intervalle d'adresses IP (bornes incluses) et éventuellement un intervalle
de ports (qui n'est valide que si la règle contient aussi
<B>-p tcp</B>

ou
<B>-p udp</B>).

Si aucun intervalle n'est spécifié, alors le port destination
ne sera jamais modifié.
<DL COMPACT><DT><DD>
<P>

Vous pouvez ajouter plusieurs options --to-destination. Si vous définissez
plus d'une adresse de destination, via un intervalle d'adresses ou via
plusieurs options --to-destination, un simple équilibrage de charge
de type «round-robin» (tour de rôle) sera effectué entre ces adresses.
</DL>
</DL>
<A NAME="lbBH">&nbsp;</A>
<H3>DSCP</H3>

Cette cible permet de modifier la valeur des bits DSCP dans l'en-tête
TOS d'un paquet IPv4. Comme ceci transforme le paquet, on ne peut
l'utiliser que dans la table <B>mangle</B>.
<DL COMPACT>
<DT><B>--set-dscp </B><I>valeur</I>

<DD>
Donne au champ DSCP une valeur numérique (décimale ou hexa).
<DT><B>--set-dscp-class </B><I>classe</I>

<DD>
Donne au champ DSCP une classe DiffServ (services différenciés).
</DL>
<A NAME="lbBI">&nbsp;</A>
<H3>ECN</H3>

Cette cible permet de travailler de façon sélective sur les trous
noirs ECN connus. On ne peut l'utiliser que dans la table mangle.
<DL COMPACT>
<DT><B>--ecn-tcp-remove</B>

<DD>
Supprime tous les bits ECN de l'en-tête TCP. Naturellement, ceci
ne peut être utilisé qu'avec
<B>-p tcp</B>.

</DL>
<A NAME="lbBJ">&nbsp;</A>
<H3>LOG</H3>

Met en service la journalisation par le noyau pour les paquets qui
correspondent. Lorsque cette option est définie dans une règle, le
noyau Linux affichera des informations sur tous les paquets
correspondant avec cette règle (comme la plupart des champs de l'en-tête
IP) par l'intermédiaire des journaux du noyau (que l'on peut lire avec 
<I>dmesg</I>

ou 
<I><A HREF="../man8/syslogd.8.html">syslogd</A></I>(8)).

Ceci est une cible «non déterminante», c.-à-d. que l'analyse
de cette règle enchaîne nécessairement sur la règle suivante. Ainsi,
si vous voulez journaliser des paquets à rejeter, utilisez deux règles
distinctes avec le même critère de correspondance, en plaçant en
premier la cible LOG et ensuite la cible DROP (ou REJECT).
<DL COMPACT>
<DT><B>--log-level </B><I>niveau</I>

<DD>
Niveau de journalisation (sous forme numérique, ou voir <I><A HREF="../man5/syslog.conf.5.html">syslog.conf</A></I>(5)).
<DT><B>--log-prefix </B><I>préfixe</I>

<DD>
Préfixe les messages de journalisation avec le préfixe indiqué&nbsp;;
jusqu'à 29 lettres de long, il est très utile pour différencier les
différents messages dans les fichiers journaux.
<DT><B>--log-tcp-sequence</B>

<DD>
Journalise les numéros de séquence TCP. Ce peut être un risque pour
la sécurité si les fichiers journaux sont lisibles par les utilisateurs
ordinaires.
<DT><B>--log-tcp-options</B>

<DD>
Journalise les options de l'en-tête des paquets TCP.
<DT><B>--log-ip-options</B>

<DD>
Journalise les options de l'en-tête des paquets IP.
</DL>
<A NAME="lbBK">&nbsp;</A>
<H3>MARK</H3>

Ceci est utilisé pour activer la valeur de marquage de Netfilter
associée au paquet. Ceci est valide uniquement avec la table
<B>mangle</B>.

On peut l'utiliser par exemple conjointement avec <B>iproute2</B>.
<DL COMPACT>
<DT><B>--set-mark </B><I>marque</I>

<DD>
</DL>
<A NAME="lbBL">&nbsp;</A>
<H3>MASQUERADE</H3>

Cette cible est seulement valide dans la table
<B>nat</B>,

dans la chaîne
<B>POSTROUTING</B>.

Elle ne doit être utilisée que dans le cas d'une connexion où l'adresse
IP est assignée dynamiquement (liaison téléphonique)&nbsp;: si vous avez
une adresse IP statique, vous devez utiliser la cible SNAT. Le camouflage
(«masquerading») revient à effectuer une association (et une substitution)
de l'adresse de source avec l'adresse IP de l'interface par laquelle
les paquets sortent, mais cela a pour conséquence d'
<I>oublier</I>

les connexions lorsque l'interface est déconnectée. C'est un comportement
approprié, car au prochain établissement de la liaison, il y a peu de
chance d'obtenir la même adresse d'interface (par conséquent les
connexions déjà établies seront inévitablement perdues). Il existe
une option
<DL COMPACT>
<DT><B>--to-ports </B><I>port</I>[-<I>port</I>]

<DD>
qui définit un intervalle de ports source à utiliser, annule et
remplace la sélection heuristique de ports source du
<B>SNAT</B>

(voir ci-dessus). Ceci n'est valide que si la règle contient aussi
<B>-p tcp</B>

ou
<B>-p udp</B>.

</DL>
<A NAME="lbBM">&nbsp;</A>
<H3>MIRROR</H3>

Ceci est une cible de démonstration expérimentale qui inverse les
champs source et destination dans l'en-tête IP et retransmet
le paquet. Il est valide uniquement avec les chaînes
<B>INPUT</B>,

<B>FORWARD</B>

et
<B>PREROUTING</B>,

et avec les chaînes définies par l'utilisateur appelées par celles-ci.
Notez que les paquets sortants
<B>NE</B>

sont
<B>PAS</B>

vus par les autres chaînes de filtrage de paquets, de traçage de connexions
ou de traduction d'adresses (NAT), afin d'éviter les boucles infinies
et d'autres problèmes.
<A NAME="lbBN">&nbsp;</A>
<H3>REDIRECT</H3>

Cette cible est seulement valide dans la table
<B>nat</B>,

dans les chaînes 
<B>PREROUTING</B>

et
<B>OUTPUT</B>,

et dans les chaînes définies par l'utilisateur appelées par celles-ci.
Elle modifie l'adresse IP de destination pour envoyer le paquet à
la machine elle-même (les paquets générés localement sont convertis
vers l'adresse 127.0.0.1). Il existe une option
<DL COMPACT>
<DT><B>--to-ports </B><I>port</I>[-<I>port</I>]

<DD>
qui définit un port destination ou un intervalle de ports à utiliser&nbsp;:
sans cela, le port destination ne sera jamais modifié. Ceci n'est
valide que si la règle contient aussi
<B>-p tcp</B>

ou
<B>-p udp</B>.

</DL>
<A NAME="lbBO">&nbsp;</A>
<H3>REJECT</H3>

Cette cible est utilisée pour répondre par un paquet d'erreur à un
paquet qui correspond&nbsp;: à part cela, c'est équivalent à
<B>DROP</B>,

donc c'est une cible déterminante, concluant l'analyse d'une règle.
Cette cible est uniquement valide dans les chaînes
<B>INPUT</B>,

<B>FORWARD</B>

et
<B>OUTPUT</B>,

et dans les chaînes définies par l'utilisateur appelées par celles-ci.
L'option suivante contrôle la nature du paquet d'erreur retourné&nbsp;:
<DL COMPACT>
<DT><B>--reject-with </B><I>type</I>

<DD>
Le type donné peut être
<B>icmp-net-unreachable</B>

(réseau inaccessible),
<B>icmp-host-unreachable</B>

(machine inaccessible),
<B>icmp-port-unreachable</B>

(port inaccessible),
<B>icmp-proto-unreachable</B>

(protocole non utilisable),
<B>icmp-net-prohibited</B>

(réseau interdit),
<B>icmp-host-prohibited</B>

(machine interdite)
ou
<B>icmp-admin-prohibited</B>(*)

(communication interdite par l'administrateur), chacun retournant
le message d'erreur ICMP approprié (par défaut, <B>port inaccessible</B>).
L'option
<B>tcp-reset</B>

peut être utilisée dans les règles associées uniquement avec le protocole
TCP&nbsp;: on envoie en retour un paquet TCP RST. On l'utilise principalement
pour bloquer les sondes
<I>ident</I>

(113/tcp), ce qui arrive fréquemment lorsqu'on envoie des courriels à des
hôtes de messagerie inaccessibles (qui d'ailleurs n'accepteront pas
votre courrier).
<DT>(*) L'utilisation du type <I>icmp-admin-prohibited</I> avec des noyaux qui<DD>
ne l'acceptent pas entraîne l'application de la cible DROP au lieu
de REJECT.
</DL>
<A NAME="lbBP">&nbsp;</A>
<H3>SNAT</H3>

Cette cible est seulement valide dans la table 
<B>nat</B>,

dans la chaîne 
<B>POSTROUTING</B>.

Elle spécifie que l'adresse source du paquet doit être modifiée
(ainsi que tous les futurs paquets de cette même connexion), et que les 
règles doivent cesser d'être examinées. Elle prend un seul type d'option&nbsp;:
<DL COMPACT>
<DT><B>--to-source  </B><I>adresse-ip</I>[-<I>adresse-ip</I>][:<I>port</I>-<I>port</I>]

<DD>
qui peut définir une nouvelle et unique adresse IP de destination,
un intervalle d'adresses IP (bornes incluses) et éventuellement un intervalle
de ports (qui n'est valide que si la règle contient aussi
<B>-p tcp</B>

ou
<B>-p udp</B>).

Si aucun intervalle de ports n'est spécifié, les ports source inférieurs
à 512 seront convertis vers d'autres ports inférieurs à 512&nbsp;: ceux
compris entre 512 et 1023 inclus seront convertis vers des ports inférieurs
à 1024, et les autres seront convertis vers des ports supérieurs à 1024.
Lorsque c'est possible, aucune modification de ports n'est effectuée.
<DL COMPACT><DT><DD>
<P>

Vous pouvez ajouter plusieurs options <B>--to-source</B>. Si vous définissez
plus d'une adresse source, via un intervalle d'adresses ou via plusieurs
options <B>--to-source</B>, une simple alternance de type «round-robin» (tour
de rôle) sera effectuée entre ces adresses.
</DL>
</DL>
<A NAME="lbBQ">&nbsp;</A>
<H3>TCPMSS</H3>

Cette cible permet de modifier la valeur MSS des paquets TCP SYN,
pour contrôler la taille maximale des segments pour cette connexion
(habituellement, on la limite au MTU de l'interface de sortie moins
40). Naturellement, elle ne peut être utilisée qu'avec
<B>-p tcp</B>.

<BR>

Cette cible est utilisée pour triompher des FAI à tendance criminelle
ou des serveurs qui bloquent les paquets ICMP de type «Fragmentation Needed»
(fragmentation nécessaire). Pour comprendre les symptômes d'un tel problème,
tout semble bien fonctionner sur votre pare-feu/routeur Linux, mais
les machines retranchées derrière ne peuvent échanger des paquets
volumineux&nbsp;:

<DL COMPACT><DT><DD>
<DL COMPACT>
<DT>1)<DD>
Les navigateurs web se connectent, puis s'interrompent sans plus recevoir de données.
<DT>2)<DD>
Les petits messages fonctionnent bien, mais les plus gros s'arrêtent.
<DT>3)<DD>
<B>ssh</B> fonctionne bien, mais <B>scp</B> s'arrête après l'initialisation initiale en
trois étapes («three-way handshake».
</DL>
</DL>


Solution de rechange&nbsp;: activer cette option et ajouter une règle
à votre configuration de pare-feu comme&nbsp;:
<PRE>
 iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN \
             -j TCPMSS --clamp-mss-to-pmtu
</PRE>

<DL COMPACT>
<DT><B>--set-mss </B><I>valeur</I>

<DD>
Fixe explicitement l'option MSS à la valeur spécifiée.
<DT><B>--clamp-mss-to-pmtu</B>

<DD>
Limite automatiquement le MSS à la valeur (MTU_de_la_liaison - 40).
<DT>Ces options sont mutuellement exclusives.<DD>
</DL>
<A NAME="lbBR">&nbsp;</A>
<H3>TOS</H3>

Ceci est utilisé pour définir le champ de Type de Service (TOS) représenté
sur 8&nbsp;bits dans l'en-tête IP. Ceci n'est valide que dans la table
<B>mangle</B>.

<DL COMPACT>
<DT><B>--set-tos </B><I>type_de_service</I>

<DD>
Pour le Type de Service, vous pouvez utiliser une valeur numérique,
ou exécuter
<PRE>
 iptables -j TOS -h
</PRE>

pour afficher la liste des noms de TOS valides.
</DL>
<A NAME="lbBS">&nbsp;</A>
<H3>ULOG</H3>

Cette cible permet de journaliser dans un espace utilisateur des paquets
qui établissent une correspondance avec une règle. Lorsque cette cible
est désignée dans une règle, le noyau de Linux va multi-diffuser le
paquet par l'intermédiaire d'un connecteur («socket»)
<I>netlink</I>.

Un ou plusieurs processus de l'espace utilisateur peuvent alors souscrire
à divers groupes de multi-diffusion et recevoir les paquets. Tout comme
la cible LOG, c'est une règle non-déterminante, c'est-à-dire que
l'analyse d'une règle enchaîne sur la règle suivante.
<DL COMPACT>
<DT><B>--ulog-nlgroup </B><I>groupe_netlink</I>

<DD>
Définit le groupe netlink (1-32) vers lequel le paquet est envoyé.
La valeur par défaut est 1.
<DT><B>--ulog-prefix </B><I>préfixe</I>

<DD>
Préfixe les messages du journal avec le préfixe indiqué&nbsp;; jusqu'à
32 caractères de long, et très utile pour différencier les messages
dans les journaux.
<DT><B>--ulog-cprange </B><I>taille</I>

<DD>
Nombre d'octets à copier dans l'espace utilisateur. Une valeur de 0
copie le paquet entier, sans tenir compte de sa taille. La valeur
par défaut est 0.
<DT><B>--ulog-qthreshold </B><I>taille</I>

<DD>
Nombre de paquets à mettre dans la file d'attente du noyau. Fixer
cette valeur par exemple à 10, accumule 10 paquets dans le noyau et
les transmet en un seul message «netlink» de multi-contenus (type «multipart»)
vers l'espace utilisateur. La valeur par défaut est 1 (pour la rétro-compatibilité,
c'est-à-dire avec les implémentations précédentes).
<BR>

</DL>
<A NAME="lbBT">&nbsp;</A>
<H2>DIAGNOSTICS</H2>

Divers messages d'erreur sont envoyés vers la sortie d'erreur standard.
Un code de sortie de 0 correspond à un fonctionnement normal. Une ligne
de commande contenant des paramètres invalides ou abusifs génère un
code de sortie égal à 2, et les autres erreurs renvoient un code de
sortie égal à 1.
<A NAME="lbBU">&nbsp;</A>
<H2>BOGUES</H2>

Des bogues&nbsp;?  Qu'est-ce que c'est&nbsp;? ;-)
Bon... les compteurs ne sont pas fiables sur l'architecture sparc64.
<A NAME="lbBV">&nbsp;</A>
<H2>COMPATIBILITÉ AVEC IPCHAINS</H2>

Cet 
<B>iptables</B>

est très similaire à l'<B>ipchains</B> de Rusty Russell. La différence principale
est que les chaînes 
<B>INPUT</B>

et
<B>OUTPUT</B>

sont uniquement traversées, respectivement par les paquets entrant
dans la machine locale et sortant de la machine locale. Par conséquent,
tous les paquets passent uniquement par une seule des trois chaînes
(sauf le trafic vers la boucle locale, qui implique à la fois les
chaînes INPUT et OUTPUT)&nbsp;; auparavant, un paquet redirigé serait
passé par les trois chaînes.
<P>

L'autre différence principale est que 
<B>-i</B>

fait référence à l'interface d'entrée&nbsp;;
<B>-o</B>

fait référence à l'interface de sortie, et toutes les deux sont disponibles
pour les paquets entrant dans la chaîne
<B>FORWARD</B>.

<P>

<B>iptables</B> est un pur filtre à paquets lorsqu'il utilise la table par défaut
«filter», avec d'éventuels modules d'extensions. Cela devrait éliminer
la confusion qu'il pouvait y avoir avec la combinaison du camouflage
d'adresses IP et du filtrage de paquets vu précédemment. Les options
suivantes sont donc gérées différemment&nbsp;:
<PRE>
 -j MASQ
 -M -S
 -M -L
</PRE>

Il y a quelques autres changements dans <B>iptables</B>.
<A NAME="lbBW">&nbsp;</A>
<H2>VOIR AUSSI</H2>

<B><A HREF="../man8/iptables-save.8.html">iptables-save</A></B>(8),

<B><A HREF="../man8/iptables-restore.8.html">iptables-restore</A></B>(8),

<B><A HREF="../man8/ip6tables.8.html">ip6tables</A></B>(8),

<B><A HREF="../man8/ip6tables-save.8.html">ip6tables-save</A></B>(8),

<B><A HREF="../man8/ip6tables-restore.8.html">ip6tables-restore</A></B>(8).


Le «Guide pratique du filtrage de paquets» (Packet-Filtering-HOWTO)
qui détaille l'utilisation d'<B>iptables</B> pour les techniques de filtrage,
le «Guide pratique de la traduction d'adresses réseau» (NAT-HOWTO)
qui détaille la traduction d'adresse réseau, et le Netfilter-Hacking-HOWTO
qui détaille le fonctionnement interne de Netfilter.
<BR>

Consulter
<B><A HREF="http://www.netfilter.org/">http://www.netfilter.org/</A></B>.

<A NAME="lbBX">&nbsp;</A>
<H2>TRADUCTION</H2>

Christophe Donnier (mars 2002), Guillaume Audirac (août 2004)
<A NAME="lbBY">&nbsp;</A>
<H2>AUTEURS</H2>

Rusty Russell a écrit <B>iptables</B>, avec la collaboration de Michael
Neuling.
<P>

Marc Boucher a suggéré à Rusty l'abandon d'<B>ipnatctl</B> en proposant
une structure générique de sélection de paquets dans <I>iptables</I>,
puis il écrivit la table mangle, la correspondance avec le propriétaire,
des choses sur le marquage, puis s'en fut faire d'autres choses géniales
un peu partout.
<P>

James Morris a écrit la cible du Type de Service (TOS) et les
correspondances de TOS.
<P>

Jozsef Kadlecsik a écrit la cible REJECT.
<P>

Harald Welte a écrit la cible ULOG, les correspondances et les
cibles TTL, DSCP, ECN.
<P>

L'équipe principale de Netfilter est composée de&nbsp;: Marc Boucher,
Martin Josefsson, Jozsef Kadlecsik, James Morris, Harald Welte et
Rusty Russell.
<P>

La page de manuel a été écrite par Hervé Eychenne &lt;<A HREF="mailto:rv@wallfire.org">rv@wallfire.org</A>&gt;.




<A NAME="lbBZ">&nbsp;</A>
<H2>AVERTISSEMENT SUR LA TRADUCTION</H2>

Il est possible que cette traduction soit imparfaite ou périmée. En cas de doute, veuillez vous reporter au document original en langue anglaise fourni avec le programme.
<P>

<HR>
<A NAME="index">&nbsp;</A><H2>Index</H2>
<DL>
<DT><A HREF="#lbAB">NOM</A><DD>
<DT><A HREF="#lbAC">RÉSUMÉ</A><DD>
<DT><A HREF="#lbAD">DESCRIPTION</A><DD>
<DT><A HREF="#lbAE">CIBLES</A><DD>
<DT><A HREF="#lbAF">TABLES</A><DD>
<DT><A HREF="#lbAG">OPTIONS</A><DD>
<DL>
<DT><A HREF="#lbAH">COMMANDES</A><DD>
<DT><A HREF="#lbAI">PARAMÈTRES</A><DD>
<DT><A HREF="#lbAJ">AUTRES OPTIONS</A><DD>
</DL>
<DT><A HREF="#lbAK">EXTENSIONS DE CORRESPONDANCE</A><DD>
<DL>
<DT><A HREF="#lbAL">ah</A><DD>
<DT><A HREF="#lbAM">conntrack</A><DD>
<DT><A HREF="#lbAN">dscp</A><DD>
<DT><A HREF="#lbAO">esp</A><DD>
<DT><A HREF="#lbAP">helper</A><DD>
<DT><A HREF="#lbAQ">icmp</A><DD>
<DT><A HREF="#lbAR">length</A><DD>
<DT><A HREF="#lbAS">limit</A><DD>
<DT><A HREF="#lbAT">mac</A><DD>
<DT><A HREF="#lbAU">mark</A><DD>
<DT><A HREF="#lbAV">multiport</A><DD>
<DT><A HREF="#lbAW">owner</A><DD>
<DT><A HREF="#lbAX">physdev</A><DD>
<DT><A HREF="#lbAY">pkttype</A><DD>
<DT><A HREF="#lbAZ">state</A><DD>
<DT><A HREF="#lbBA">tcp</A><DD>
<DT><A HREF="#lbBB">tos</A><DD>
<DT><A HREF="#lbBC">ttl</A><DD>
<DT><A HREF="#lbBD">udp</A><DD>
<DT><A HREF="#lbBE">unclean</A><DD>
</DL>
<DT><A HREF="#lbBF">EXTENSIONS DE CIBLE</A><DD>
<DL>
<DT><A HREF="#lbBG">DNAT</A><DD>
<DT><A HREF="#lbBH">DSCP</A><DD>
<DT><A HREF="#lbBI">ECN</A><DD>
<DT><A HREF="#lbBJ">LOG</A><DD>
<DT><A HREF="#lbBK">MARK</A><DD>
<DT><A HREF="#lbBL">MASQUERADE</A><DD>
<DT><A HREF="#lbBM">MIRROR</A><DD>
<DT><A HREF="#lbBN">REDIRECT</A><DD>
<DT><A HREF="#lbBO">REJECT</A><DD>
<DT><A HREF="#lbBP">SNAT</A><DD>
<DT><A HREF="#lbBQ">TCPMSS</A><DD>
<DT><A HREF="#lbBR">TOS</A><DD>
<DT><A HREF="#lbBS">ULOG</A><DD>
</DL>
<DT><A HREF="#lbBT">DIAGNOSTICS</A><DD>
<DT><A HREF="#lbBU">BOGUES</A><DD>
<DT><A HREF="#lbBV">COMPATIBILITÉ AVEC IPCHAINS</A><DD>
<DT><A HREF="#lbBW">VOIR AUSSI</A><DD>
<DT><A HREF="#lbBX">TRADUCTION</A><DD>
<DT><A HREF="#lbBY">AUTEURS</A><DD>
<DT><A HREF="#lbBZ">AVERTISSEMENT SUR LA TRADUCTION</A><DD>
</DL>
<HR>
This document was created by
<A HREF="http://localhost/cgi-bin/man/man2html">man2html</A>,
using the manual pages.<BR>
Time: 20:26:57 GMT, July 10, 2005
</BODY>
</HTML>