Re: Apache et iptables
Pascal@plouf wrote:
> Salut,
>
> Frédéric CONANGLE a écrit :
>>>
>>>Et si tu nous donnais les règles complètes de ton firewall alors ? Parce
>>>qu'avec ce que je t'avais donné, ça aurait dû marcher.
>>
>> désolé le premier n'était pas bon....
>
> 1) Ton firewall est un gruyère. Exemple :
>
>> /sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -j ACCEPT
>
> Cette règle autorise n'importe qui de l'extérieur à se connecter à
> n'importe quel port TCP de ta machine à partir du port source 80.
>
> Il vaudrait mieux utiliser le suivi de connexion comme tu le fait plus
> bas.
>
> 2) Le trafic local émis par la machine à destination d'elle-même passe
> systématiquement par l'interface de loopback (lo), même quand l'adresse
> destination utilisée est celle d'une autre interface. Donc pour
> contacter ton serveur web en local, il faut autoriser le trafic HTTP en
> entrée et en sortie sur lo. D'ailleurs, il n'y a pas de raison de
> filtrer quoi que ce soit sur cette interface. Le plus simple est de
> remplacer :
>
>> /sbin/iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j
>> ACCEPT
>> /sbin/iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j
>> ACCEPT
>
> par :
>
> /sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
> /sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
Effectivement ,c'est bien cette ligne qui me bloquait .......Merci pour
l'info .
>
> 3) Pour finir, un nettoyage s'impose. Ton script contient un paquet de
> règles redondantes, comme par exemple :
>
>> /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>> /sbin/iptables -t nat -A POSTROUTING -s 10.82.1.23 -o ppp0 -j MASQUERADE
>> /sbin/iptables -t nat -A POSTROUTING -s 10.82.1.21 -o ppp0 -j MASQUERADE
>> /sbin/iptables -t nat -A POSTROUTING -s 10.82.1.22 -o ppp0 -j MASQUERADE
>
> Les trois dernières règles ne servent à rien puisque la première est
> plus générale.
>
> Ou encore :
>
>> /sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 443 -j
>> ACCEPT /sbin/iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port
>> 443 -j ACCEPT
>
> et plus bas :
>
>> /sbin/iptables -A INPUT -i ppp0 --protocol tcp --source-port 443 -m state
>> --state ESTABLISHED -j ACCEPT /sbin/iptables -A OUTPUT -o ppp0 --protocol
>> tcp --destination-port 443 -m state --state NEW,ESTABLISHED -j ACCEPT
>
> Les deux dernières règles ne sont pas utilisées puisque les deux
> premières sont plus permissives.
>
> Il y aurait encore beaucoup à dire...
J'en suis persuadé........;)
J'apprends sur le tas .......
>
>
Pour finir , mon port 80 est ouvert ,mais je suis obligé si quelqu'un veux
voir mon site.........c'est une question.......
Un grand MERCI à tous pour votre aide .......Problème résolu .
--
Toute la philosophie moderne tourne autour de la difficulté de décrire
le monde en termes de sujet et de prédicat, de substances et de
qualités, de particuliers et d'universels.
-+- Alfred North Whitehead -+-
Reply to: