11.5. Cible CONNSECMARK

La cible CONNSECMARK place une marque dans le contexte de sécurité SELinux vers ou depuis une marque de paquet. Pour plus d'information sur SELinux voir Security-Enhanced Linux. La cible n'est valide que dans la table mangle, elle est utilisée conjointement avec la cible SECMARK, laquelle sert à placer la marque d'origine, ensuite CONNSECMARK place la marque sur la connexion complète.

SELinux est en dehors du propos de ce document, mais de façon basique c'est un ajout de Mandatory Access Control à Linux. Il est plus précis que la plupart des sytèmes de sécurité d'origine de beaucoup de Linux/Unix. Chaque objet peut avoir des attributs ou des contextes de sécurité, connecté à lui, et ces attributs sont ensuite sélectionnés pour permettre ou refuser à une tâche spécifique d'être exécutée. Cette cible permet à un contexte de sécurité d'être placé sur une connexion.

Tableau 11.4. Options de la cible CONNSECMARK

Option --save
Exemple iptables -t mangle -A PREROUTING -p tcp --dport 80 -j CONNSECMARK --save
Explication Sauvegarde la marque du contexte de sécurité du paquet vers la connexion si la connexion n'est pas marquée avant.
Option --restore
Exemple iptables -t mangle -A PREROUTING -p tcp --dport 80 -j CONNSECMARK --restore
Explication Si le paquet ne possède pas de marque de contexte de sécurité, l'option --restore placera cette marque associée avec la connexion sur le paquet.