Re: iptables autorisation DNS, SSH et ping

[Pascal Hambourg <pascal.mail@plouf.fr.eu.org>]

sleepewig a écrit :
> 
> Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie :

La règle de suivi de connexion en OUTPUT est déjà présente, pas besoin
d'autre chose.

> iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

Surtout pas, ça accepte n'importe quoi vers n'importe où du moment que
c'est émis depuis le port 22 ! (d'accord pour utiliser ce port source il
faut être root et si on est root on peut changer les règles, mais c'est
pas une raison)

> # et ajouter pour les requete dns
> iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT
> iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT

Surtout pas : jamais de règles basées uniquement sur le port source pour
accepter les réponses, ce n'est pas fiable. Utiliser plutôt le suivi de
connexion.

> Si tu veux autorise que le ping :
> 
> iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT

Ça ce serait pour le ping en sortie (réponse entrante), ce qui n'est pas
demandé. Inutile dans le cas contraire car la règle de suivi de
connexion s'en occupe déjà.

> iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT

Oui.

> iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT

Inutile, la règle de suivi de connexion s'en occupe déjà.

> iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT

Ça ce serait pour le ping en sortie, ce qui n'est pas demandé.