Paulo.debian wrote:
Bonjour, Je suis entrain d'apprendre iptables et je me pose une question. Lorsque l'on fait un firewall, est il nécessaire de configurer la chaîne OUTPUT pour n'accepter que les paquets à destination des ports que l'on souhaite autoriser comme on le ferait pour la chaîne INPUT ou est-ce que l'on peut autoriser tous ce qui sort. Je vais essayer d'être plus clair avec un exemple: #On accepte tout ce qui sort iptables -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Ou bien pour chaque règle INPUT du type iptables -A INPUT -i ppp0 -p tcp --sport www -m state --state ESTABLISHED,RELATED -j ACCEPT #On ajoute une règle OUTPUT du type iptables -A OUTPUT -o ppp0 -p tcp --dport www -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT Merci.
Bonsoir,Déjà, pas la peine de mettre "-m state --state ...." si tu autorises NEW, ESTABLISHED, et RELATED (un "iptables -A OUTPUT -m state --state INVALID -j DROP" en début suffira, et allègera l'écriture des autres règles).
Ensuite pour ton problème, tu peux faire :iptables -A INPUT -i ppp0 -p tcp --sport www -m state --state ESTABLISHED,RELATED -j ACCEPT
et iptables -P INPUT DROP iptables -P OUTPUT ACCEPT La machine est tout de même protégée.Il faut à ce moment là être sûr que personne va venir sur la machine pour y faire joujou et se connecter "là où il ne faut pas".
Pour ma part, sur mes firewalls, je fais un contrôle sur le INPUT et sur le OUTPUT, en partant du principe que 2 protections valent mieux qu'une.
Bonne soirée. Guillaume LEHMANN