#iptables
17 éléments
ipset: listes d'IPs performantes pour iptables
Créer un set d'adresses et l'utiliser dans une règle iptables pour matcher rapidement.
ipset: sauvegarder et restaurer des sets
Persister des ipsets (blacklists/whitelists) et les recharger au boot.
iptables: clamp-mss-to-pmtu pour éviter la fragmentation
Ajuster la MSS TCP sortante pour s'adapter au MTU du chemin et éviter les blackholes PMTU.
iptables: marquer DSCP pour QoS
Marquer les paquets sortants avec un DSCP spécifique pour gérer la QoS en aval.
iptables: limiter connexions simultanées par IP
Empêcher l'abus en limitant le nombre de connexions par adresse source.
iptables: limiter les requêtes par IP (hashlimit)
Rate limiter des nouvelles connexions ou paquets par IP source au niveau L3/L4.
iptables: filtrer par états conntrack
Autoriser les connexions établies et limiter NEW pour des ports spécifiques.
iptables: NAT sortant avec MASQUERADE
Activer le partage de connexion (NAT) pour un réseau LAN vers Internet.
iptables string: détecter des patterns simples
Utiliser -m string pour matcher une chaîne dans la payload (HTTP Host, User-Agent) et agir.
iptables: NOTRACK pour bypass conntrack
Exclure un trafic spécifique du suivi d'état (conntrack) pour réduire la charge ou éviter des bugs.
iptables: filtrer par utilisateur (owner)
Appliquer des règles en fonction de l'UID/GID du processus émetteur sur OUTPUT.
iptables: rediriger un port (DNAT) proprement
Mettre en place un NAT de port en PREROUTING + MASQUERADE pour exposer un service interne.