Salut, Franck a écrit :
en voulant "tuner" mon firewall et après avoir trouvé quelques modules sympa, je souhaite maintenant savoir précisément ce que fait un module. Je ne trouve pas de liste exhaustive des modules avec leur fonctionnalité. Exemple : que font les modules ip_ah, ipt_CONNMARK, ipt_conntrack, ipt_esp, ipt_helper, ipt_ipp2p, ipt_MASQUERADE, ipt_MIRROR et peut-on leur passer des params ?
Je ne connais pas ip_ah, seulement ipt_ah. Les autres modules que tu cites implémentent des cibles (en majuscules, option -j) et correspondances (en minuscules, option -m) utilisables dans les règles iptables. Par exemple ipt_CONNMARK (ou xt_CONNMARK dans les noyaux récents) implémente la cible 'CONNMARK', ipt_conntrack ou xt_conntrack - à ne pas confondre avec le module principal de gestion du suivi de connexion IPv4 ip_conntrack - implémente la correspondance 'conntrack', version étendue de la correspondance 'state'.
Dans la plupart des distributions dont Debian, chacun de ces modules est chargé automatiquement via modprobe lors de la création de la première règle qui contient une cible ou une correspondance qui en dépend. Il est donc généralement inutile de les charger à l'avance.
Certains de ces modules admettent des paramètres. C'est le cas notamment du module ipt_recent de la correspondance 'recent'. La commande 'modinfo' suivie du nom du module (sans le .o ou .ko) montre la liste des paramètres. Pour passer des paramètres lors du chargement automatique, il faut les spécifier comme d'habitude avec une directive 'option' dans le bazar de /etc/modules.conf|modutils (noyau 2.4) ou /etc/modprobe.conf|modprobe.d (noyau 2.6).
Il existe une autre catégorie de modules liés à Netfilter qui ne sont pas chargés automatiquement car ils ne sont pas directement liés aux règles iptables mais sont néanmoins importants : les modules de suivi de connexion et de NAT pour des protocoles "spéciaux" : ip_conntrack_ftp et ip_nat_ftp (ou nf_conntrack_ftp et nf_nat_ftp) pour le protocole FTP, ip_conntrack_sip et ip_nat_sip pour le protocole SIP (VoIP)... Ils peuvent être nécessaires pour que le NAT et le suivi de connexion fonctionnent correctement avec ces protocoles. Certains de ces modules admettent aussi des paramètres, par exemple pour FTP la liste des ports à surveiller (port 21 par défaut).