Je ne vois pas le message que j’avais écrit en réponse à SylvainMuller, j’ai dû oublier de le valider avant de me déconnecter…
Une règle DROP fait office d’exception par rapport à une politique ACCEPT ou une autre règle ACCEPT. Une règle DROP avec une politique DROP n’a aucun effet, de même qu’une règle ACCEPT avec une politique ACCEPT. On utilise généralement les combinaisons suivantes :
- politique DROP et règles ACCEPT (bloque tout sauf ce qui est explicitement autorisé)
- politique ACCEPT et règles DROP (accepte tout sauf ce qui est explicitement interdit).
Pour être indépendant de la politique par défaut, il faut combiner deux règles : une pour accepter les paquets IPSec provenant de 192.0.2.5 (adresse officiellement réservée aux exemples), et une pour bloquer tous les autres paquets IPSec :
iptables -A INPUT -p udp -m multiport --destination-port 500,4500 -s 192.0.2.5 -j ACCEPT
iptables -A INPUT -p udp -m multiport --destination-port 500,4500 -j DROP
Les chaînes utilisateur sont rarement indispensables. Elles servent principalement à “factoriser” les conditions, grouper les règles et éviter les répétitions. Comme des sous-programmes.
Dans ton exemple, tous les paquets envoyés dans la chaîne doivent être bloqués, donc elle ne contiendrait qu’une simple règle DROP :
Aucun intérêt, autant faire le DROP directement comme dans ta règle originelle au lieu d’envoyer dans une chaîne.
On pourrait en revanche définir une chaîne utilisateur pour factoriser les conditions communes aux deux règles que j’ai écrites plus haut (dont j’ai modifié l’ordre des conditions pour faire ressortir les points communs) :
iptables -N IPSEC
iptables -A INPUT -p udp -m multiport --destination-port 500,4500 -j IPSEC
iptables -A IPSEC -s 192.0.2.5 -j ACCEPT
iptables -A IPSEC -j DROP
Oui.
Non. Tu confonds l’opération et sa portée. Une règle de NAT peut être sélective selon l’adresse, le port, le protocole… des paquets auxquels elle s’applique. La caractéristique commune est qu’on modifie l’adresse source et/ou destination.
Similairement, le PAT modifie le port source et/ou destination. La combinaison des deux est le NPAT où on modifie à la fois adresse et port.
Mais cela n’a strictement aucun rapport avec la redirection des ports IPSec de la box et aucune pertinence dans le cadre du présent sujet, à savoir les flux UDP du port 500 et 4500. Le “donc” était de trop.