Paulo.debian wrote:
Non. En fait, si t'as un intranet et que tu bloques tes ports sur l'interface de ce reseau, forcement lorsque cela arrive sur le output de l'interface de ton internet c'est deja filtre (a condition que le firewall ne sert que de firewall). Si tu n'as qu'une machine, partant du principe que tout ce qui sort est new, un --established related ne pourra *jamais* etre realise tant que la regle new n'aura ete acceptee prealablement. Parcontre, c'est tres utile pour bloquer des ports. Et cela sans tenir compte de l'etat.Bonjour, Je suis entrain d'apprendre iptables et je me pose une question. Lorsque l'on fait un firewall, est il nécessaire de configurer la chaîne OUTPUT pour n'accepter que les paquets à destination des ports que l'on souhaite autoriser comme on le ferait pour la chaîne INPUT ou est-ce que l'on peut autoriser tous ce qui sort.
En resume: tu peux autoriser toutes les sorties a partir du moment ou les ports sont autorises en sortie, voir protocole (ex ICMP bloque pour empecher les pings intempestifs sur ta machine). Mais je pense que d'autres personnes auront d'autres avis :-)
-- : ______ ______ ______ ______ ______ __ daniel.huhardeaux@tootai.com : /_____// __ // __ //_____// __ // / phone.: +48 32 285 4554 : / / / /_/ // /_/ / / / / /_/ // / fax....: +48 32 285 4554 : /_/ /_____//_____/ /_/ /_/ /_//_/ mobile..: +48 602 284 546