Qu'est-ce qu'une chaîne en termes firewall ?

Une **chaîne** est une liste ordonnée de règles. Quand un paquet entre dans le kernel, le firewall parcourt la bonne chaîne du haut vers le bas et applique la première règle qui matche. Les trois chaînes built-in dans la table filter sont celles que gère ce générateur : **INPUT** (paquets destinés à cette machine), **OUTPUT** (paquets quittant cette machine), **FORWARD** (paquets passant par cette machine, comme un routeur). Si vous atteignez la fin sans match, la **politique par défaut** de la chaîne entre en jeu. Les chaînes peuvent aussi avoir des **noms custom** pour organiser les règles, mais les built-ins sont là où chaque ruleset commence.

Quelle est la différence entre INPUT, OUTPUT et FORWARD ?

Ce sont les trois directions de trafic dont une boîte Linux s'occupe. La **chaîne INPUT** voit les paquets **adressés à la machine locale** : quelqu'un se connectant à votre SSH, votre serveur web, votre résolveur DNS. C'est la chaîne qui protège vos services. La **chaîne OUTPUT** voit les paquets que votre machine **envoie** : HTTP sortant, lookups DNS, appels API. Généralement laissée grande ouverte avec politique ACCEPT parce que vous faites confiance à votre propre logiciel. La **chaîne FORWARD** voit les paquets qui **arrivent sur une interface et partent sur une autre**, sans être adressés à la machine locale. Seuls les routeurs, gateways, boîtes NAT et hosts Docker ont besoin de règles FORWARD. Sur un serveur régulier, FORWARD devrait être politique DROP et rester vide.

Pourquoi mettre ESTABLISHED,RELATED en haut ?

Parce que la première règle qu'un paquet matche est la règle qui gagne, et **chaque paquet de réponse** de chaque connexion que vous avez autorisée devrait matcher cette unique règle. Sans elle, vous auriez à écrire une règle inverse pour chaque service : "autoriser entrant sur 80" ET "autoriser réponse sortante depuis 80", ce qui double le ruleset et casse si vous oubliez. Mettez cette règle en position **1** de INPUT et FORWARD : `iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT` Elle matche les paquets qui appartiennent à une connexion que le kernel track déjà (ESTABLISHED) ou une connexion liée comme un canal data FTP (RELATED). Résultat : vous n'avez besoin que de règles pour les **nouvelles** connexions, le firewall gère les réponses automatiquement.

Que fait conntrack en réalité ?

**Conntrack** est le tracker de connexion du kernel. Pour chaque flow TCP, UDP et ICMP qu'il voit, conntrack enregistre l'IP source, l'IP destination, le port source, le port destination et l'état actuel (NEW, ESTABLISHED, RELATED, INVALID). Le firewall peut alors matcher sur **l'état** au lieu d'avoir à écrire deux règles par service. C'est ce qui rend un firewall **stateful** : le kernel sait "ce paquet est la réponse à une connexion que j'ai autorisée il y a cinq secondes" et décide en conséquence. Les firewalls modernes utilisent `-m conntrack --ctstate` (iptables) ou `ct state` (nftables). L'ancienne syntaxe `-m state --state` marche encore pour la rétrocompatibilité mais conntrack est la canonique.

Stateful vs stateless, quelle est la différence pratique ?

Un **firewall stateless** regarde chaque paquet en isolation : source, destination, protocole, ports. Pour autoriser un site web à répondre à votre requête, vous avez besoin d'une règle explicite pour la réponse. Le ruleset double en taille et vous pouvez fuir des réponses que vous n'aviez pas l'intention d'autoriser. Un **firewall stateful** se souvient des connexions actives dans une table. Pour autoriser les réponses, une règle suffit : "tout ce qui fait partie d'une connexion existante, accepter". C'est ce que fait `-m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT`. Le kernel connaît la table de connexion ; vous écrivez les règles pour les **nouveaux** flows seulement. **Utilisez toujours le matching stateful** sauf si vous écrivez les règles pour un routeur qui gère des millions de paquets par seconde et que l'overhead conntrack est mesurable.

Pourquoi mettre la politique par défaut à DROP ?

**Deny par défaut** est la stance sûre. Avec politique ACCEPT, vous devez énumérer tout le mauvais que vous voulez bloquer, ce qui est une liste infinie. Avec politique DROP, vous énumérez les quelques choses que vous voulez autoriser, ce qui est une liste courte (SSH, HTTP, HTTPS, trafic de retour). Tout ce que vous avez oublié est bloqué, ce qui est exactement ce que vous voulez sur un firewall. **Verrouillez-vous toujours un chemin de retour d'abord** : écrivez la règle ACCEPT pour SSH sur le port 22 (ou ce que vous utilisez), testez, puis basculez la politique à DROP. Si vous basculez d'abord vous serez kické de votre propre serveur.

Comment persister les règles firewall à travers les reboots ?

Les règles ajoutées avec `iptables` ou `nft` vivent en mémoire et **disparaissent au reboot**. Pour les faire survivre : **Debian / Ubuntu (iptables)** : installez `iptables-persistent`, puis `sudo netfilter-persistent save`. Les règles sont écrites dans `/etc/iptables/rules.v4` et `rules.v6` et rechargées au boot. **RHEL / CentOS (iptables)** : `sudo service iptables save` écrit dans `/etc/sysconfig/iptables`. **Toute distro moderne (nftables)** : sauvegardez la sortie de `sudo nft list ruleset` dans `/etc/nftables.conf` et activez le service : `sudo systemctl enable nftables`. Au boot le service lance `nft -f /etc/nftables.conf` et le ruleset est restauré. **Workflow recommandé** : gardez `/etc/nftables.conf` (ou la sortie iptables-save) en contrôle de version. Traitez le firewall comme tout autre fichier de config.

L'ordre des règles compte ?

**Oui, l'ordre compte énormément en iptables**. Les règles dans une chaîne sont évaluées **du haut vers le bas** et le **premier match gagne**. Les règles suivantes ne sont pas vérifiées. Donc ça marche : règle 1 = "ACCEPT SSH depuis 1.2.3.4", règle 2 = "DROP all SSH". Et ça c'est cassé : règle 1 = "DROP all SSH", règle 2 = "ACCEPT SSH depuis 1.2.3.4" (le DROP gagne, personne n'entre). **nftables c'est pareil** : les règles dans une chaîne tournent du haut vers le bas. Mettez toujours les allows spécifiques **avant** les drops larges. Le générateur vous permet de réordonner les règles avec les flèches haut/bas sur chaque ligne.

Comment tester les règles sans me verrouiller dehors ?

Trois astuces classiques. **1. Lancer un kill switch dans un autre terminal** : `sudo nohup sh -c 'sleep 300; iptables -F; iptables -P INPUT ACCEPT' &`. Si vous bousillez, le firewall se flush en 5 minutes. Ouvrez un second terminal avant d'appliquer les nouvelles règles. **2. Planifier un flush avec `at`** : `echo "iptables -F; iptables -P INPUT ACCEPT" | sudo at now + 10 minutes`. Même idée, plus propre. **3. Utiliser `iptables-apply` (Debian) ou `nft -c -f rules.conf`** : l'outil apply vous demande de confirmer en 10 secondes ou roll back. `nft -c` fait un check dry-run sur la syntaxe. **Ayez toujours un accès console / IPMI / KVM** à votre serveur avant de toucher aux règles firewall sur une boîte distante. SSH est la **seule** chose qui vous garde connecté ; un mauvais DROP et vous marchez vers le datacenter.

Builder iptables - gratuit

# iptables-legacy ruleset # Flush existing rules before applying iptables -F iptables -X # Default policies iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Rules iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -m comment --comment "allow return traffic" # Save (Debian/Ubuntu): netfilter-persistent save # Save (RHEL/CentOS): service iptables save

# nftables ruleset (save as /etc/nftables.conf) #!/usr/sbin/nft -f flush ruleset table inet filter { chain input { type filter hook input priority 0; policy drop; ct state { established, related } accept comment "allow return traffic" } chain forward { type filter hook forward priority 0; policy drop; } chain output { type filter hook output priority 0; policy accept; } } # Apply: sudo nft -f /etc/nftables.conf # Persist on boot: sudo systemctl enable nftables

Qu'est-ce que ce générateur de règles iptables / nftables ?

Un firewall Linux garde le trafic non désiré hors de votre serveur. Les deux outils livrés avec le kernel sont iptables (le classique, là depuis 1998) et nftables (le remplaçant moderne, défaut sur Debian 11+, Ubuntu 22.04+, RHEL 9+ et la plupart des distros actuelles).

Ce générateur vous permet d'écrire des règles firewall sous une forme amicale et produit les deux syntaxes en même temps. Choisissez une chaîne (INPUT, OUTPUT, FORWARD), choisissez une action (ACCEPT, DROP, REJECT, LOG), réglez le protocole, source, destination, ports et état de connexion, et vous obtenez un ruleset prêt à coller.

Tout tourne dans votre navigateur : aucune règle n'est appliquée, aucun serveur n'est contacté, rien n'est uploadé. Vous copiez la sortie, ouvrez votre terminal, lisez attentivement, et lancez vous-même. L'outil est un générateur, pas un runner.

Quelques choses utiles à savoir avant de commencer :

La politique par défaut d'une chaîne c'est ce qui se passe quand aucune règle ne matche. Mettre INPUT à DROP plus quelques règles ACCEPT ciblées est la stance classique "deny by default".
L'ordre compte en iptables : les règles sont évaluées du haut vers le bas, premier match gagne. Mettez votre règle de trafic de retour (ESTABLISHED, RELATED) en premier pour éviter de casser les connexions existantes.
nftables est déclaratif (toute la table est un document) ; iptables est impératif (chaque ligne `-A` append une règle).

Mode d'emploi

Commencez avec un preset si vous le pouvez : "Serveur web de base", "SSL verrouillé", "Autoriser LAN, refuser WAN", "Chaîne forward Docker", ou "Rate limit SSH". Chacun remplit des défauts sensés que vous pouvez ajuster.
Réglez la politique par défaut par chaîne. La stance sûre est INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. La politique OUTPUT est généralement ACCEPT parce que vous faites confiance à votre propre serveur pour parler dehors.
Ajoutez les règles dans l'ordre. La toute première règle INPUT devrait être : protocole=any, état=ESTABLISHED+RELATED, action=ACCEPT. Ça garde les connexions existantes vivantes quand vous rechargez le firewall.
Pour chaque règle choisissez la chaîne, l'action, le protocole, l'IP source optionnelle (ou CIDR comme 192.168.1.0/24), l'IP destination optionnelle, le port source/destination optionnel, et un état de connexion si vous avez besoin d'un match stateful.
Utilisez le toggle conntrack pour choisir entre le moderne `-m conntrack --ctstate` et le legacy `-m state --state`. Les kernels modernes par défaut sur conntrack ; gardez-le activé sauf si votre distro est ancienne.
Regardez l'aperçu live sur la droite. Le panneau du haut c'est iptables, celui du bas c'est nftables. Les deux sont synchronisés depuis le même modèle et les deux ont un bouton Copier.
Testez avant de commiter. Copiez le bloc iptables, collez sur le serveur, lancez. Si vous vous verrouillez dehors, les règles ne survivront pas à un reboot (elles vivent en mémoire seulement). Après 5 minutes de test, persistez avec `netfilter-persistent save` (Debian/Ubuntu) ou sauvegardez le bloc nftables dans `/etc/nftables.conf`.

Quand cet outil est utile

Cinq situations concrètes où construire des règles sous forme bat l'écriture à la main :

Vous avez monté un VPS frais et avez besoin d'un firewall de départ. Le preset "Serveur web de base" ouvre les ports 22 (SSH), 80 (HTTP), 443 (HTTPS) et drop tout le reste. C'est la première étape canonique après installation d'un serveur, et le générateur l'écrit une fois pour les deux syntaxes pour que vous puissiez choisir celle que votre distro utilise.
Vous migrez d'iptables vers nftables. Beaucoup de distros (Debian 11+, RHEL 9+) ont mis nftables par défaut et la commande legacy `iptables` est un wrapper. Collez vos règles iptables existantes dans le form, switchez l'aperçu vers nftables, et vous avez un `/etc/nftables.conf` prêt à sauvegarder.
Vous voulez verrouiller SSH à une IP. Le preset "SSL verrouillé" montre le pattern : ACCEPT depuis votre IP bureau, LOG et DROP tout le reste. Trois règles, dans le bon ordre, avec matching d'état inclus.
Vous gérez un host Docker et la chaîne FORWARD est un bazar. Docker réécrit la chaîne FORWARD à chaque restart, ce qui est OK, mais vous devez quand même savoir à quoi de bonnes règles FORWARD ressemblent. Le preset "Chaîne forward Docker" est un baseline propre que vous pouvez adapter.
Vous enseignez le networking Linux à quelqu'un. La vue côte-à-côte iptables vs nftables est la manière la plus rapide de montrer l'équivalence : même modèle, deux syntaxes. Basculez un état, regardez les deux panneaux se mettre à jour, et la relation entre `-m conntrack --ctstate` et `ct state` clique instantanément.

Questions fréquentes

nftables est le défaut actuel et le futur. Il a remplacé iptables dans la stack networking du kernel Linux et est l'outil système sur Debian 11+, Ubuntu 22.04+, RHEL 9+, Fedora 32+, Arch, et openSUSE. iptables est officiellement en mode maintenance long terme : il marche encore (et la commande `iptables` sur les distros modernes est généralement un wrapper autour de nftables), mais aucune nouvelle feature ne vient. Apprenez nftables pour le nouveau travail. Apprenez assez d'iptables pour lire la vieille doc et les serveurs existants. Ce générateur montre les deux pour que vous puissiez traduire entre.

Qu'est-ce que ce générateur de règles iptables / nftables ?

Quelques choses utiles à savoir avant de commencer :

La politique par défaut d'une chaîne c'est ce qui se passe quand aucune règle ne matche. Mettre INPUT à DROP plus quelques règles ACCEPT ciblées est la stance classique "deny by default".
L'ordre compte en iptables : les règles sont évaluées du haut vers le bas, premier match gagne. Mettez votre règle de trafic de retour (ESTABLISHED, RELATED) en premier pour éviter de casser les connexions existantes.
nftables est déclaratif (toute la table est un document) ; iptables est impératif (chaque ligne `-A` append une règle).

Mode d'emploi

Commencez avec un preset si vous le pouvez : "Serveur web de base", "SSL verrouillé", "Autoriser LAN, refuser WAN", "Chaîne forward Docker", ou "Rate limit SSH". Chacun remplit des défauts sensés que vous pouvez ajuster.

Réglez la politique par défaut par chaîne. La stance sûre est INPUT=DROP, FORWARD=DROP, OUTPUT=ACCEPT. La politique OUTPUT est généralement ACCEPT parce que vous faites confiance à votre propre serveur pour parler dehors.

Ajoutez les règles dans l'ordre. La toute première règle INPUT devrait être : protocole=any, état=ESTABLISHED+RELATED, action=ACCEPT. Ça garde les connexions existantes vivantes quand vous rechargez le firewall.

Pour chaque règle choisissez la chaîne, l'action, le protocole, l'IP source optionnelle (ou CIDR comme 192.168.1.0/24), l'IP destination optionnelle, le port source/destination optionnel, et un état de connexion si vous avez besoin d'un match stateful.

Utilisez le toggle conntrack pour choisir entre le moderne `-m conntrack --ctstate` et le legacy `-m state --state`. Les kernels modernes par défaut sur conntrack ; gardez-le activé sauf si votre distro est ancienne.

Regardez l'aperçu live sur la droite. Le panneau du haut c'est iptables, celui du bas c'est nftables. Les deux sont synchronisés depuis le même modèle et les deux ont un bouton Copier.

Testez avant de commiter. Copiez le bloc iptables, collez sur le serveur, lancez. Si vous vous verrouillez dehors, les règles ne survivront pas à un reboot (elles vivent en mémoire seulement). Après 5 minutes de test, persistez avec `netfilter-persistent save` (Debian/Ubuntu) ou sauvegardez le bloc nftables dans `/etc/nftables.conf`.

Quand cet outil est utile

Cinq situations concrètes où construire des règles sous forme bat l'écriture à la main :

Vous avez monté un VPS frais et avez besoin d'un firewall de départ. Le preset "Serveur web de base" ouvre les ports 22 (SSH), 80 (HTTP), 443 (HTTPS) et drop tout le reste. C'est la première étape canonique après installation d'un serveur, et le générateur l'écrit une fois pour les deux syntaxes pour que vous puissiez choisir celle que votre distro utilise.
Vous migrez d'iptables vers nftables. Beaucoup de distros (Debian 11+, RHEL 9+) ont mis nftables par défaut et la commande legacy `iptables` est un wrapper. Collez vos règles iptables existantes dans le form, switchez l'aperçu vers nftables, et vous avez un `/etc/nftables.conf` prêt à sauvegarder.
Vous voulez verrouiller SSH à une IP. Le preset "SSL verrouillé" montre le pattern : ACCEPT depuis votre IP bureau, LOG et DROP tout le reste. Trois règles, dans le bon ordre, avec matching d'état inclus.
Vous gérez un host Docker et la chaîne FORWARD est un bazar. Docker réécrit la chaîne FORWARD à chaque restart, ce qui est OK, mais vous devez quand même savoir à quoi de bonnes règles FORWARD ressemblent. Le preset "Chaîne forward Docker" est un baseline propre que vous pouvez adapter.
Vous enseignez le networking Linux à quelqu'un. La vue côte-à-côte iptables vs nftables est la manière la plus rapide de montrer l'équivalence : même modèle, deux syntaxes. Basculez un état, regardez les deux panneaux se mettre à jour, et la relation entre `-m conntrack --ctstate` et `ct state` clique instantanément.

Questions fréquentes

Builder iptables

Qu'est-ce que ce générateur de règles iptables / nftables ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder config SSH

Vérificateur accessibilité port

Builder config Nginx

Builder unit systemd

Builder iptables

Qu'est-ce que ce générateur de règles iptables / nftables ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Builder config SSH

Vérificateur accessibilité port

Builder config Nginx

Builder unit systemd