iptables inclut un module qui permet aux administrateurs d'inspecter et de restreindre les connexions aux services disponibles sur un réseau interne à l'aide d'une méthode appelée suivi de connexions. Cette dernière enregistre les connexions dans une table, permettant aux administrateurs d'autoriser ou de refuser l'accès selon les états de connexion suivants :
NEW — Un paquet demandant une nouvelle connexion, comme une requête HTTP.
ESTABLISHED — Un paquet qui fait parti d'une connexion existante.
RELATED — Un paquet qui demande une nouvelle connexion mais qui fait parti d'une connexion existante, comme des connexions FTP passives où le port de connexion est 20, mais le port de transfert peut être tout port inutilisé 1024 ou supérieur.
INVALID — Un paquet qui ne fait parti d'aucune connexion dans la table de suivi de connexions.
Vous pouvez utiliser la fonctionnalité à états du suivi de connexions de iptables avec tout protocole réseau, même si le protocole lui-même est sans état (comme UDP). L'exemple suivant illustre une règle qui utilise le suivi de connexions pour retransmettre uniquement les paquets qui sont associés à une connexion établie :
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW |
| Précédent | Sommaire | Suivant |
| Virus et adresses IP usurpées | Niveau supérieur | ip6tables |