iptables \u00e9quipe plus de 90 % des serveurs Linux en production selon les donn\u00e9es consolid\u00e9es de la communaut\u00e9 Netfilter. Pourtant, une mauvaise configuration suffit pour exposer un service critique, bloquer Docker ou verrouiller votre propre acc\u00e8s SSH. Ce tutoriel vous guide \u00e0 travers 12 \u00e9tapes concr\u00e8tes pour configurer un pare-feu robuste sur Ubuntu 24.04 LTS ou Debian 12, de l’installation jusqu’\u00e0 la persistance des r\u00e8gles en passant par la protection contre les attaques par force brute.<\/p>\n\n\n\n
La version install\u00e9e sur Ubuntu 24.04 LTS est iptables 1.8.10-3ubuntu2<\/strong>, accompagn\u00e9e de nftables 1.1.0-2 et d’ufw 0.36.2-6. Sur Ubuntu 24.10, les paquets montent respectivement \u00e0 iptables 1.8.11-2ubuntu1 et nftables 1.1.1-1build1. Ces versions coexistent dans le sous-syst\u00e8me Netfilter du noyau Linux, ce qui cr\u00e9e des subtilit\u00e9s importantes avant de modifier vos r\u00e8gles.<\/p>\n\n\n\n Ce tutoriel traite un serveur standard sans Docker dans un premier temps. La section d\u00e9di\u00e9e \u00e0 Docker et iptables couvre les interactions sp\u00e9cifiques \u00e0 cette configuration.<\/p>\n\n\n\n iptables filtre les paquets r\u00e9seau \u00e0 travers une hi\u00e9rarchie de tables<\/strong>, de cha\u00eenes<\/strong> et de r\u00e8gles<\/strong>. Comprendre cette architecture avant d’\u00e9crire la moindre r\u00e8gle \u00e9vite la grande majorit\u00e9 des erreurs de configuration.<\/p>\n\n\n\n Chaque paquet r\u00e9seau traverse un chemin pr\u00e9cis selon sa direction :<\/p>\n\n\n\n Pour un serveur standard (non routeur), vous utiliserez quasi exclusivement la table filter<\/strong> et les cha\u00eenes INPUT<\/strong>, OUTPUT<\/strong> et FORWARD<\/strong>. La cha\u00eene FORWARD reste vide avec une politique DROP sauf si le serveur fait du routage ou du VPN.<\/p>\n\n\n\n Les cibles (targets) d\u00e9finissent l’action appliqu\u00e9e au paquet :<\/p>\n\n\n\n Sur les distributions modernes, iptables est g\u00e9n\u00e9ralement pr\u00e9install\u00e9. V\u00e9rifiez d’abord sa pr\u00e9sence et sa version :<\/p>\n\n\n\n La mention Si iptables est absent (serveur minimal) :<\/p>\n\n\n\n Travailler avec un script plut\u00f4t qu’en ligne de commande directe pr\u00e9sente deux avantages : reproductibilit\u00e9 compl\u00e8te et possibilit\u00e9 d’inclure un Structure initiale du script (les r\u00e8gles seront ajout\u00e9es \u00e9tape par \u00e9tape) :<\/p>\n\n\n\n L’interface loopback ( La troisi\u00e8me r\u00e8gle prot\u00e8ge contre une technique d’attaque rare : des paquets forg\u00e9s avec l’adresse source 127.0.0.1 arrivant sur une interface externe. Sans cette protection, certains services locaux pourraient accepter ces paquets en croyant qu’ils viennent de la machine elle-m\u00eame.<\/p>\n\n\n\n Le module L’\u00e9tat SSH sur le port 22 est la cible principale des scans automatis\u00e9s. Les serveurs expos\u00e9s re\u00e7oivent entre 1 000 et 5 000 tentatives de connexion par jour selon les donn\u00e9es de Shodan (2025). Une r\u00e8gle d’autorisation simple ne suffit pas : il faut combiner autorisation et limitation de d\u00e9bit.<\/p>\n\n\n\n La limitation de d\u00e9bit (rate limiting) bloque les attaques par force brute avant qu’elles atteignent le service SSH. Cette technique fonctionne avec le module Ces r\u00e8gles bloquent silencieusement les scanners automatis\u00e9s tout en permettant \u00e0 un utilisateur l\u00e9gitime qui ferait plusieurs tentatives \u00e9chou\u00e9es de se reconnecter apr\u00e8s 60 secondes. Ajustez Si votre serveur h\u00e9berge des applications web, ouvrez les ports 80 et 443. Si vous utilisez Let’s Encrypt pour les certificats TLS, le port 80 est \u00e9galement n\u00e9cessaire pour la validation HTTP-01 :<\/p>\n\n\n\n La r\u00e8gle QUIC sur UDP 443 couvre HTTP\/3. Nginx 1.25+ et Caddy le supportent nativement. Si votre stack n’utilise pas encore HTTP\/3, omettez la ligne UDP pour r\u00e9duire la surface d’attaque.<\/p>\n\n\n\n Bloquer ICMP totalement est une mauvaise pratique souvent recommand\u00e9e \u00e0 tort dans des tutoriels d\u00e9pass\u00e9s. ICMP remplit des fonctions critiques pour le bon fonctionnement du r\u00e9seau, notamment la d\u00e9couverte du MTU (path MTU discovery). Voici la configuration recommand\u00e9e :<\/p>\n\n\n\n La limite de 1 ping par seconde avec un burst de 5 paquets permet le diagnostic r\u00e9seau normal tout en bloquant les attaques par ping flood. Un attaquant envoyant des milliers de pings par seconde ne franchira pas cette limite.<\/p>\n\n\n\n Avant d’appliquer la politique de rejet par d\u00e9faut, ajoutez des r\u00e8gles de journalisation. Ces logs sont invaluables pour diagnostiquer les blocages l\u00e9gitimes et d\u00e9tecter les tentatives d’intrusion :<\/p>\n\n\n\n Le niveau de log 7 (debug) envoie les messages vers le journal du noyau. La limite de 5 messages par minute emp\u00eache les attaques par d\u00e9ni de service par remplissage de logs. Sans cette limite, un attaquant pourrait saturer votre partition Cette \u00e9tape est la plus critique. Elle bascule la politique par d\u00e9faut de ACCEPT vers DROP pour les cha\u00eenes INPUT et FORWARD. Apr\u00e8s cette commande, tout trafic non explicitement autoris\u00e9 sera rejet\u00e9 :<\/p>\n\n\n\n Si vous perdez votre acc\u00e8s SSH apr\u00e8s cette commande, vos r\u00e8gles d’autorisation SSH (\u00e9tape 5) n’ont pas \u00e9t\u00e9 appliqu\u00e9es avant la politique DROP. Acc\u00e9dez au serveur via la console VNC ou IPMI et ex\u00e9cutez Astuce de s\u00e9curit\u00e9 : avant d’appliquer la politique DROP, planifiez une remise \u00e0 z\u00e9ro automatique avec la commande Par d\u00e9faut, les r\u00e8gles iptables sont volatiles : elles disparaissent au red\u00e9marrage. Le paquet Pour recharger les r\u00e8gles depuis le fichier sans red\u00e9marrer :<\/p>\n\n\n\n IPv6 est activ\u00e9 par d\u00e9faut sur Ubuntu 22.04+ et Debian 12. Une configuration iptables sans ip6tables laisse le serveur totalement ouvert sur IPv6, contournant toutes vos r\u00e8gles IPv4 :<\/p>\n\n\n\n Contrairement \u00e0 IPv4, ne jamais bloquer ICMPv6 totalement<\/strong>. IPv6 en d\u00e9pend fondamentalement pour la r\u00e9solution d'adresses (NDP remplace ARP), la d\u00e9tection de doublons d'adresse et la d\u00e9couverte des routeurs. Bloquer ICMPv6 rend le r\u00e9seau IPv6 non fonctionnel m\u00eame si les adresses sont correctement configur\u00e9es.<\/p>\n\n\n\n Le choix entre iptables, nftables et UFW d\u00e9pend de votre contexte. Voici un comparatif factuel bas\u00e9 sur les versions disponibles sur Ubuntu 24.04 LTS :<\/p>\n\n\n\n Sur Ubuntu 24.04, iptables utilise nftables comme backend par d\u00e9faut (visible avec Docker modifie automatiquement les r\u00e8gles iptables pour g\u00e9rer le r\u00e9seau des conteneurs. Ce comportement cr\u00e9e des surprises, notamment des ports expos\u00e9s non pr\u00e9vus qui contournent votre politique DROP.<\/p>\n\n\n\n Quand vous d\u00e9marrez un conteneur avec La cha\u00eene Sur Ubuntu 24.04.3, un probl\u00e8me fr\u00e9quent signal\u00e9 dans les forums concerne les r\u00e8gles DNS cass\u00e9es apr\u00e8s activation d'iptables sur un serveur ex\u00e9cutant systemd-resolved et Docker simultan\u00e9ment. Solution : autoriser explicitement le port 53 en sortie.<\/p>\n\n\n\n L'ordre des commandes est critique. Si vous ex\u00e9cutez iptables ne contr\u00f4le que IPv4. Sur tout serveur moderne avec une adresse IPv6 publique, le pare-feu IPv4 le plus strict du monde ne prot\u00e8ge pas contre un scan IPv6 si ip6tables n'est pas configur\u00e9. V\u00e9rifiez votre exposition IPv6 avec Sans Docker contourne les r\u00e8gles INPUT pour les ports mapp\u00e9s. Un Beaucoup de tutoriels copi\u00e9s depuis IPv4 bloquent tout ICMP par d\u00e9faut. Sur IPv6, cette pratique casse compl\u00e8tement la connectivit\u00e9 car NDP (Neighbor Discovery Protocol) utilise ICMPv6. Autorisez toujours FTP actif utilise des connexions de donn\u00e9es sur des ports al\u00e9atoires. Pour que la r\u00e8gle REJECT envoie un message d'erreur \u00e0 l'exp\u00e9diteur, confirmant que le port est filtr\u00e9 et que le serveur existe. DROP rejette silencieusement, ce qui ralentit les scans et ne r\u00e9v\u00e8le rien. Utilisez DROP pour la politique par d\u00e9faut et REJECT seulement pour des r\u00e8gles sp\u00e9cifiques o\u00f9 informer l'exp\u00e9diteur est pertinent (r\u00e9seau interne, par exemple).<\/p>\n\n\n\nPr\u00e9requis<\/h2>\n\n\n\n
\n
Architecture d’iptables : tables, cha\u00eenes et cibles<\/h2>\n\n\n\n
Les quatre tables principales<\/h3>\n\n\n\n
Table<\/th> R\u00f4le<\/th> Cha\u00eenes disponibles<\/th> Cas d’usage typique<\/th><\/tr><\/thead> filter<\/strong><\/td> Filtrage des paquets (table par d\u00e9faut)<\/td> INPUT, OUTPUT, FORWARD<\/td> Autoriser ou bloquer du trafic<\/td><\/tr> nat<\/strong><\/td> Traduction d’adresses r\u00e9seau<\/td> PREROUTING, OUTPUT, POSTROUTING<\/td> Redirection de ports, masquage IP<\/td><\/tr> mangle<\/strong><\/td> Modification des en-t\u00eates de paquets<\/td> Toutes les 5 cha\u00eenes<\/td> QoS, marquage de paquets<\/td><\/tr> raw<\/strong><\/td> Traitement avant le suivi de connexion<\/td> PREROUTING, OUTPUT<\/td> Contournement du conntrack<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Les cinq cha\u00eenes standard<\/h3>\n\n\n\n
\n
\n
\u00c9tape 1 : V\u00e9rifier et installer iptables<\/h2>\n\n\n\n
# V\u00e9rifier la version d'iptables install\u00e9e\nsudo iptables --version\n\n# R\u00e9sultat attendu sur Ubuntu 24.04 LTS :\n# iptables v1.8.10 (nf_tables)\n\n# V\u00e9rifier le backend actif\nsudo update-alternatives --display iptables\n\n# Afficher toutes les r\u00e8gles actives avec compteurs\nsudo iptables -L -v -n\n\n# Exemple de sortie sur un serveur vierge :\n# Chain INPUT (policy ACCEPT 0 packets, 0 bytes)\n# target prot opt source destination\n#\n# Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)\n# target prot opt source destination\n#\n# Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)\n# target prot opt source destination<\/code><\/pre>\n\n\n\n(nf_tables)<\/code> indique qu’iptables utilise nftables comme backend. C’est le comportement par d\u00e9faut depuis Ubuntu 20.04. Trois cha\u00eenes vides avec la politique ACCEPT signifient qu’aucune r\u00e8gle ne filtre le trafic : \u00e9tat le plus vuln\u00e9rable.<\/p>\n\n\n\n# Installation sur Ubuntu\/Debian\nsudo apt update\nsudo apt install -y iptables iptables-persistent\n\n# Sur CentOS\/RHEL\/AlmaLinux 9\nsudo dnf install -y iptables-services\nsudo systemctl enable iptables\nsudo systemctl start iptables<\/code><\/pre>\n\n\n\n\u00c9tape 2 : Sauvegarder et cr\u00e9er un script de configuration<\/h2>\n\n\n\n
iptables -F<\/code> initial pour repartir d’un \u00e9tat propre.<\/p>\n\n\n\n# Sauvegarder la configuration actuelle avant toute modification\nsudo mkdir -p \/etc\/iptables\nsudo iptables-save > \/etc\/iptables\/rules.v4.backup\n\n# Cr\u00e9er le script de configuration\nsudo nano \/etc\/iptables\/setup-firewall.sh<\/code><\/pre>\n\n\n\n#!\/bin\/bash\n# Pare-feu iptables - Configuration serveur Linux\n# Mis \u00e0 jour : juin 2026\n\n# ---- REMISE \u00c0 Z\u00c9RO ----\niptables -F\niptables -X\niptables -t nat -F\niptables -t nat -X\niptables -t mangle -F\niptables -t mangle -X\n\n# Politique temporairement en ACCEPT pendant la configuration\n# (sera bascul\u00e9e en DROP \u00e0 la fin du script)\niptables -P INPUT ACCEPT\niptables -P FORWARD ACCEPT\niptables -P OUTPUT ACCEPT\n\necho \"Remise \u00e0 z\u00e9ro effectu\u00e9e\"<\/code><\/pre>\n\n\n\n# Rendre le script ex\u00e9cutable\nsudo chmod +x \/etc\/iptables\/setup-firewall.sh<\/code><\/pre>\n\n\n\n\u00c9tape 3 : Autoriser le trafic loopback<\/h2>\n\n\n\n
lo<\/code>, adresse 127.0.0.1) est utilis\u00e9e par les processus locaux pour communiquer entre eux. Bloquer cette interface casse des services entiers : bases de donn\u00e9es locales, sockets Unix, services systemd.<\/p>\n\n\n\n# Autoriser tout le trafic sur l'interface loopback\niptables -A INPUT -i lo -j ACCEPT\niptables -A OUTPUT -o lo -j ACCEPT\n\n# Bloquer les paquets pr\u00e9tendant venir de 127.0.0.1 sur une interface externe\n# Protection contre le spoofing de l'adresse loopback\niptables -A INPUT -s 127.0.0.0\/8 ! -i lo -j DROP<\/code><\/pre>\n\n\n\n\u00c9tape 4 : Autoriser les connexions \u00e9tablies et li\u00e9es<\/h2>\n\n\n\n
conntrack<\/code> (connection tracking) d’iptables suit l’\u00e9tat des connexions r\u00e9seau. Cette r\u00e8gle est probablement la plus importante de toute la configuration car elle permet au serveur de recevoir les r\u00e9ponses aux connexions qu’il initie lui-m\u00eame :<\/p>\n\n\n\n# Bloquer d'abord les paquets invalides (avant ESTABLISHED pour les \u00e9liminer t\u00f4t)\niptables -A INPUT -m conntrack --ctstate INVALID -j DROP\n\n# Autoriser les connexions d\u00e9j\u00e0 \u00e9tablies et les connexions li\u00e9es\n# (r\u00e9ponses aux connexions sortantes initi\u00e9es par le serveur)\niptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\n\n# V\u00e9rifier que le module conntrack est charg\u00e9\nlsmod | grep conntrack<\/code><\/pre>\n\n\n\nESTABLISHED<\/code> couvre les paquets faisant partie d’une connexion bidirectionnelle active (mises \u00e0 jour apt, requ\u00eates DNS sortantes, etc.). L’\u00e9tat RELATED<\/code> couvre les connexions auxiliaires, comme les canaux de donn\u00e9es FTP passif. Sans cette r\u00e8gle, le serveur ne pourrait pas recevoir de r\u00e9ponses \u00e0 ses propres requ\u00eates sortantes.<\/p>\n\n\n\n\u00c9tape 5 : Prot\u00e9ger l’acc\u00e8s SSH<\/h2>\n\n\n\n
# Cas 1 : Port SSH standard (22), acc\u00e8s depuis n'importe quelle IP\niptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT\n\n# Cas 2 : Port SSH personnalis\u00e9 (exemple : 2222)\n# iptables -A INPUT -p tcp --dport 2222 -m conntrack --ctstate NEW -j ACCEPT\n\n# Cas 3 : Restreindre SSH \u00e0 une plage IP sp\u00e9cifique (recommand\u00e9 en production)\n# Remplacer 203.0.113.0\/24 par votre plage d'IP r\u00e9elle\n# iptables -A INPUT -p tcp -s 203.0.113.0\/24 --dport 22 -m conntrack --ctstate NEW -j ACCEPT<\/code><\/pre>\n\n\n\n\u00c9tape 6 : Limiter les tentatives de connexion SSH (anti-brute force)<\/h2>\n\n\n\n
recent<\/code> d’iptables et ne n\u00e9cessite pas Fail2ban, bien que les deux puissent coexister :<\/p>\n\n\n\n# Protection SSH anti-brute force avec le module recent\n# Enregistrer l'IP source dans la liste \"ssh_brute\"\niptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW \\\n -m recent --set --name ssh_brute\n\n# Bloquer les IP ayant plus de 4 tentatives en 60 secondes\niptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW \\\n -m recent --update --seconds 60 --hitcount 5 --name ssh_brute \\\n -j DROP\n\n# Variante avec journalisation avant blocage\niptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW \\\n -m recent --update --seconds 60 --hitcount 5 --name ssh_brute \\\n -j LOG --log-prefix \"SSH_BRUTE_FORCE: \" --log-level 7<\/code><\/pre>\n\n\n\n--hitcount<\/code> et --seconds<\/code> selon votre politique de s\u00e9curit\u00e9. Pour une protection plus agressive, r\u00e9duisez --hitcount<\/code> \u00e0 3.<\/p>\n\n\n\n\u00c9tape 7 : Autoriser le trafic web (HTTP et HTTPS)<\/h2>\n\n\n\n
# Autoriser HTTP (port 80)\niptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT\n\n# Autoriser HTTPS (port 443) sur TCP\niptables -A INPUT -p tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT\n\n# Autoriser QUIC\/HTTP3 sur UDP 443 (serveurs Nginx 1.25+ ou Caddy)\niptables -A INPUT -p udp --dport 443 -m conntrack --ctstate NEW -j ACCEPT\n\n# Si serveur mail : SMTP (25), SMTPS (465), Submission (587), IMAP (993), POP3S (995)\n# iptables -A INPUT -p tcp -m multiport --dports 25,465,587,993,995 \\\n# -m conntrack --ctstate NEW -j ACCEPT<\/code><\/pre>\n\n\n\n\u00c9tape 8 : Configurer les r\u00e8gles ICMP (ping)<\/h2>\n\n\n\n
# Autoriser les messages ICMP essentiels en entr\u00e9e\n# echo-request (type 8) : permet le ping entrant, limit\u00e9 \u00e0 1\/s\niptables -A INPUT -p icmp --icmp-type echo-request -m limit \\\n --limit 1\/s --limit-burst 5 -j ACCEPT\n\n# destination-unreachable (type 3) : n\u00e9cessaire pour path MTU discovery\niptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT\n\n# time-exceeded (type 11) : n\u00e9cessaire pour traceroute et diagnostics\niptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT\n\n# Bloquer tous les autres types ICMP (ping flood, etc.)\niptables -A INPUT -p icmp -j DROP<\/code><\/pre>\n\n\n\n\u00c9tape 9 : Journaliser les paquets rejet\u00e9s<\/h2>\n\n\n\n
# Journaliser les paquets INPUT rejet\u00e9s (limit\u00e9 \u00e0 5\/min pour \u00e9viter le log flooding)\niptables -A INPUT -m limit --limit 5\/min --limit-burst 10 \\\n -j LOG --log-prefix \"IPT_INPUT_DROP: \" --log-level 7\n\n# Journaliser les paquets FORWARD rejet\u00e9s\niptables -A FORWARD -m limit --limit 5\/min --limit-burst 10 \\\n -j LOG --log-prefix \"IPT_FORWARD_DROP: \" --log-level 7\n\n# Consulter les logs en temps r\u00e9el\nsudo journalctl -f | grep \"IPT_INPUT_DROP\"\n\n# Ou dans \/var\/log\/kern.log sur Debian\/Ubuntu\nsudo tail -f \/var\/log\/kern.log | grep \"IPT_\"<\/code><\/pre>\n\n\n\n\/var\/log<\/code> en quelques minutes.<\/p>\n\n\n\n\u00c9tape 10 : Appliquer la politique de refus par d\u00e9faut (DROP)<\/h2>\n\n\n\n
# ATTENTION : v\u00e9rifiez que les r\u00e8gles SSH sont bien en place avant cette commande\n# En cas de doute : sudo iptables -L INPUT -n | grep \"dpt:22\"\n\n# Politique DROP pour INPUT (trafic entrant vers le serveur)\niptables -P INPUT DROP\n\n# Politique DROP pour FORWARD (trafic transitant par le serveur)\niptables -P FORWARD DROP\n\n# Laisser OUTPUT en ACCEPT (le serveur peut initier des connexions sortantes)\niptables -P OUTPUT ACCEPT\n\n# V\u00e9rification imm\u00e9diate : votre session SSH doit rester active\necho \"R\u00e8gles appliqu\u00e9es. Session SSH maintenue.\"\n\n# Afficher la configuration finale avec num\u00e9ros de ligne\niptables -L -v -n --line-numbers<\/code><\/pre>\n\n\n\niptables -P INPUT ACCEPT<\/code> pour retrouver l’acc\u00e8s, puis recommencez dans le bon ordre.<\/p>\n\n\n\nat<\/code> :<\/p>\n\n\n\n# Planifier une remise \u00e0 z\u00e9ro dans 5 minutes en cas de blocage accidentel\necho \"iptables -P INPUT ACCEPT; iptables -F\" | sudo at now + 5 minutes\n\n# Appliquer vos r\u00e8gles... puis annuler le job at si tout va bien\nsudo atrm 1 # Remplacer 1 par le num\u00e9ro de job affich\u00e9 par at<\/code><\/pre>\n\n\n\n\u00c9tape 11 : Persister les r\u00e8gles avec iptables-persistent<\/h2>\n\n\n\n
iptables-persistent<\/code> les sauvegarde et les recharge automatiquement au boot :<\/p>\n\n\n\n# Installer iptables-persistent si pas encore fait\nsudo apt install -y iptables-persistent\n\n# Sauvegarder les r\u00e8gles IPv4 actuelles\nsudo iptables-save > \/etc\/iptables\/rules.v4\n\n# Sauvegarder les r\u00e8gles IPv6 actuelles\nsudo ip6tables-save > \/etc\/iptables\/rules.v6\n\n# Exemple de contenu de \/etc\/iptables\/rules.v4 :\n# # Generated by iptables-save v1.8.10\n# *filter\n# :INPUT DROP [0:0]\n# :FORWARD DROP [0:0]\n# :OUTPUT ACCEPT [0:0]\n# -A INPUT -i lo -j ACCEPT\n# -A INPUT -s 127.0.0.0\/8 ! -i lo -j DROP\n# -A INPUT -m conntrack --ctstate INVALID -j DROP\n# -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT\n# -A INPUT -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT\n# -A INPUT -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT\n# -A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT\n# COMMIT<\/code><\/pre>\n\n\n\n# Recharger les r\u00e8gles IPv4\nsudo iptables-restore < \/etc\/iptables\/rules.v4\n\n# Activer le service de persistance au d\u00e9marrage\nsudo systemctl enable netfilter-persistent\nsudo systemctl status netfilter-persistent\n\n# V\u00e9rifier que les r\u00e8gles survivent apr\u00e8s reboot (test sur VM recommand\u00e9)\nsudo reboot\n# Apr\u00e8s red\u00e9marrage : sudo iptables -L -v -n<\/code><\/pre>\n\n\n\n\u00c9tape 12 : Configurer IPv6 avec ip6tables<\/h2>\n\n\n\n
# V\u00e9rifier les r\u00e8gles IPv6 actuelles\nsudo ip6tables -L -v -n\n\n# Configuration minimale IPv6\n# Loopback\nip6tables -A INPUT -i lo -j ACCEPT\nip6tables -A OUTPUT -o lo -j ACCEPT\n\n# Connexions \u00e9tablies\nip6tables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT\n\n# ICMPv6 : OBLIGATOIRE pour le bon fonctionnement d'IPv6\n# NDP (Neighbor Discovery Protocol) utilise ICMPv6\n# Ne JAMAIS bloquer ICMPv6 totalement contrairement \u00e0 IPv4\nip6tables -A INPUT -p ipv6-icmp -j ACCEPT\nip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT\n\n# SSH sur IPv6\nip6tables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT\n\n# HTTP\/HTTPS sur IPv6\nip6tables -A INPUT -p tcp -m multiport --dports 80,443 \\\n -m conntrack --ctstate NEW -j ACCEPT\n\n# Politique DROP\nip6tables -P INPUT DROP\nip6tables -P FORWARD DROP\n\n# Sauvegarder\nsudo ip6tables-save > \/etc\/iptables\/rules.v6<\/code><\/pre>\n\n\n\niptables vs nftables vs UFW : comparatif 2026<\/h2>\n\n\n\n
Crit\u00e8re<\/th> iptables 1.8.10<\/th> nftables 1.1.0<\/th> UFW 0.36.2<\/th><\/tr><\/thead> Syntaxe<\/strong><\/td> Commandes s\u00e9par\u00e9es par table<\/td> Syntaxe unifi\u00e9e, plus lisible<\/td> Simplicit\u00e9 maximale<\/td><\/tr> Performance sur grandes r\u00e8gles<\/strong><\/td> Bonne<\/td> Meilleure (\u00e9valuation par ensembles)<\/td> D\u00e9pend du backend<\/td><\/tr> Gestion IPv4 + IPv6<\/strong><\/td> Deux commandes distinctes<\/td> Gestion unifi\u00e9e en une commande<\/td> Unifi\u00e9e via backend<\/td><\/tr> Compatibilit\u00e9 Docker<\/strong><\/td> Native, cha\u00eene DOCKER int\u00e9gr\u00e9e<\/td> Partielle via iptables-compat<\/td> Probl\u00e8mes document\u00e9s<\/td><\/tr> Courbe d'apprentissage<\/strong><\/td> Moyenne<\/td> Plus complexe initialement<\/td> Faible<\/td><\/tr> Scripts automatis\u00e9s<\/strong><\/td> Excellent (historique abondant)<\/td> Bon, en progression<\/td> Limit\u00e9<\/td><\/tr> Documentation ANSSI<\/strong><\/td> Abondante, fran\u00e7aise<\/td> En progression<\/td> Conseill\u00e9 d\u00e9butants<\/td><\/tr> Package Ubuntu 24.04<\/strong><\/td> 1.8.10-3ubuntu2<\/td> 1.1.0-2<\/td> 0.36.2-6<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n iptables --version<\/code> qui affiche nf_tables<\/code>). Les deux outils coexistent dans Netfilter. La bonne approche en 2026 : utiliser iptables si vous avez une base existante de r\u00e8gles ou si Docker est dans votre stack, envisager la migration vers nftables natif pour les nouveaux d\u00e9ploiements sans Docker.<\/p>\n\n\n\niptables et Docker : l'interaction \u00e0 ne pas n\u00e9gliger<\/h2>\n\n\n\n
-p 8080:80<\/code>, Docker ajoute automatiquement des r\u00e8gles dans la cha\u00eene DOCKER de la table nat et dans FORWARD. Ces r\u00e8gles ignorent votre politique DROP sur FORWARD car elles sont \u00e9valu\u00e9es avant vos r\u00e8gles personnalis\u00e9es :<\/p>\n\n\n\n# Voir les r\u00e8gles cr\u00e9\u00e9es par Docker\nsudo iptables -L DOCKER -v -n\nsudo iptables -t nat -L DOCKER -v -n\n\n# Solution 1 : Binder uniquement sur localhost (recommand\u00e9e pour services internes)\n# docker run -p 127.0.0.1:8080:80 mon-service\n\n# Solution 2 : Utiliser la cha\u00eene DOCKER-USER (recommand\u00e9e pour restrictions)\n# Docker consulte toujours DOCKER-USER avant ses propres r\u00e8gles\n# Bloquer l'acc\u00e8s externe \u00e0 un port Docker :\niptables -I DOCKER-USER -i eth0 -p tcp --dport 8080 -j DROP\n\n# Autoriser uniquement une IP sp\u00e9cifique vers ce port\niptables -I DOCKER-USER -i eth0 -s 203.0.113.10 -p tcp --dport 8080 -j ACCEPT\niptables -A DOCKER-USER -i eth0 -p tcp --dport 8080 -j DROP<\/code><\/pre>\n\n\n\nDOCKER-USER<\/code> est la solution officielle recommand\u00e9e par Docker Inc. pour ajouter des r\u00e8gles persistantes que Docker ne supprime pas lors du red\u00e9marrage du service. Toutes vos restrictions sur les ports expos\u00e9s doivent passer par cette cha\u00eene.<\/p>\n\n\n\n# Autoriser les requ\u00eates DNS sortantes (n\u00e9cessaire avec OUTPUT en ACCEPT par d\u00e9faut)\n# Si vous avez restreint OUTPUT, ajoutez ces r\u00e8gles :\niptables -A OUTPUT -p udp --dport 53 -j ACCEPT\niptables -A OUTPUT -p tcp --dport 53 -j ACCEPT\n\n# DNS local de systemd-resolved\niptables -A OUTPUT -d 127.0.0.53 -j ACCEPT<\/code><\/pre>\n\n\n\nTableau de r\u00e9f\u00e9rence : r\u00e8gles iptables courantes<\/h2>\n\n\n\n
Cas d'usage<\/th> Commande iptables<\/th> Notes<\/th><\/tr><\/thead> Autoriser MySQL depuis r\u00e9seau interne<\/td> iptables -A INPUT -p tcp -s 10.0.0.0\/8 --dport 3306 -j ACCEPT<\/code><\/td>N'exposez jamais MySQL publiquement<\/td><\/tr> Bloquer une IP sp\u00e9cifique<\/td> iptables -I INPUT -s 198.51.100.1 -j DROP<\/code><\/td>-I<\/code> ins\u00e8re en t\u00eate de cha\u00eene<\/td><\/tr>Redirection de port (NAT)<\/td> iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080<\/code><\/td>Table nat, pas filter<\/td><\/tr> Masquage IP (partage connexion)<\/td> iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE<\/code><\/td>Activer ip_forward \u00e9galement<\/td><\/tr> Bloquer les scans SYN flood<\/td> iptables -A INPUT -p tcp --syn -m limit --limit 1\/s --limit-burst 3 -j ACCEPT<\/code><\/td>Limite les attaques SYN<\/td><\/tr> Bloquer les paquets invalides<\/td> iptables -A INPUT -m conntrack --ctstate INVALID -j DROP<\/code><\/td>\u00c0 placer avant les r\u00e8gles ACCEPT<\/td><\/tr> Bloquer scan Xmas (Nmap)<\/td> iptables -A INPUT -p tcp --tcp-flags ALL FIN,PSH,URG -j DROP<\/code><\/td>D\u00e9tection de scans agressifs<\/td><\/tr> Bloquer scan NULL (Nmap)<\/td> iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP<\/code><\/td>Combinaison de flags invalide<\/td><\/tr> Lister r\u00e8gles avec num\u00e9ros<\/td> iptables -L INPUT --line-numbers -n<\/code><\/td>Pour supprimer par num\u00e9ro<\/td><\/tr> Supprimer une r\u00e8gle par num\u00e9ro<\/td> iptables -D INPUT 3<\/code><\/td>Supprime la r\u00e8gle n\u00b03 de INPUT<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n Pi\u00e8ges courants et erreurs \u00e0 \u00e9viter absolument<\/h2>\n\n\n\n
Pi\u00e8ge 1 : Appliquer DROP avant d'autoriser SSH<\/h3>\n\n\n\n
iptables -P INPUT DROP<\/code> avant d'ajouter la r\u00e8gle SSH, vous perdez imm\u00e9diatement votre acc\u00e8s distant. V\u00e9rifiez toujours avec iptables -L INPUT -n | grep \"dpt:22\"<\/code> que la r\u00e8gle SSH est pr\u00e9sente avant de basculer en DROP.<\/p>\n\n\n\nPi\u00e8ge 2 : Oublier ip6tables<\/h3>\n\n\n\n
curl -6 ifconfig.io<\/code>.<\/p>\n\n\n\nPi\u00e8ge 3 : Confondre -I et -A<\/h3>\n\n\n\n
-A<\/code> (append) ajoute une r\u00e8gle en fin de cha\u00eene. -I<\/code> (insert) l'ajoute en t\u00eate par d\u00e9faut. iptables \u00e9value les r\u00e8gles dans l'ordre s\u00e9quentiel. Une r\u00e8gle DROP ajout\u00e9e avec -A<\/code> apr\u00e8s une r\u00e8gle ACCEPT pour le m\u00eame trafic sera ignor\u00e9e. Utilisez -I<\/code> pour les blocages d'urgence et -A<\/code> pour les r\u00e8gles normales dans le bon ordre logique.<\/p>\n\n\n\nPi\u00e8ge 4 : Ne pas persister les r\u00e8gles<\/h3>\n\n\n\n
iptables-persistent<\/code>, toutes vos r\u00e8gles disparaissent au red\u00e9marrage. Un serveur red\u00e9marr\u00e9 apr\u00e8s une mise \u00e0 jour de s\u00e9curit\u00e9 devient soudainement totalement ouvert. V\u00e9rifiez que les r\u00e8gles sont dans \/etc\/iptables\/rules.v4<\/code> apr\u00e8s chaque modification importante.<\/p>\n\n\n\nPi\u00e8ge 5 : Ignorer l'interaction avec Docker<\/h3>\n\n\n\n
docker run -p 0.0.0.0:8080:80<\/code> expose le port 8080 publiquement m\u00eame avec iptables -P INPUT DROP<\/code>. La seule solution correcte : utiliser la cha\u00eene DOCKER-USER ou binder uniquement sur localhost (127.0.0.1:8080:80<\/code>).<\/p>\n\n\n\nPi\u00e8ge 6 : Bloquer ICMPv6 sur IPv6<\/h3>\n\n\n\n
-p ipv6-icmp -j ACCEPT<\/code> dans ip6tables.<\/p>\n\n\n\nPi\u00e8ge 7 : Bloquer les paquets RELATED sans le module nf_conntrack_ftp<\/h3>\n\n\n\n
ESTABLISHED,RELATED<\/code> fonctionne avec FTP, le module nf_conntrack_ftp<\/code> doit \u00eatre charg\u00e9. V\u00e9rifiez avec lsmod | grep conntrack_ftp<\/code> et chargez-le avec modprobe nf_conntrack_ftp<\/code>, puis ajoutez-le \u00e0 \/etc\/modules<\/code>.<\/p>\n\n\n\nPi\u00e8ge 8 : Utiliser REJECT pour la politique par d\u00e9faut<\/h3>\n\n\n\n
D\u00e9pannage iptables : 10 probl\u00e8mes fr\u00e9quents et leurs solutions<\/h2>\n\n\n\n
Probl\u00e8me<\/th> Sympt\u00f4me<\/th> Commande de diagnostic<\/th> Solution<\/th><\/tr><\/thead> Session SSH coup\u00e9e<\/td> Connexion ferm\u00e9e apr\u00e8s -P INPUT DROP<\/td> Console IPMI<\/td> iptables -P INPUT ACCEPT<\/code> puis reconfigurer dans l'ordre<\/td><\/tr>Port 80 inaccessible<\/td> Timeout navigateur<\/td> iptables -L INPUT -n | grep 80<\/code><\/td>Ajouter r\u00e8gle --dport 80 -j ACCEPT<\/code><\/td><\/tr>Docker port ignor\u00e9 par les r\u00e8gles<\/td> Port expos\u00e9 malgr\u00e9 INPUT DROP<\/td> iptables -L DOCKER -n<\/code><\/td>Utiliser la cha\u00eene DOCKER-USER<\/td><\/tr> R\u00e8gles perdues au red\u00e9marrage<\/td> Serveur ouvert apr\u00e8s reboot<\/td> ls -la \/etc\/iptables\/rules.v4<\/code><\/td>iptables-save > \/etc\/iptables\/rules.v4<\/code><\/td><\/tr>DNS ne fonctionne plus<\/td> R\u00e9solution d'adresses \u00e9choue<\/td> dig @8.8.8.8 google.com<\/code><\/td>Autoriser OUTPUT UDP\/TCP port 53<\/td><\/tr> apt update \u00e9choue<\/td> Timeout sur les d\u00e9p\u00f4ts<\/td> iptables -L OUTPUT -n<\/code><\/td>