Troumad a écrit :
[...] # MISE à ZERO des règles de filtrage iptables -F iptables -t nat -FAjoute une commande -X pour chaque table pour supprimer les éventuelles chaînes utilisateur comme dans le choix stop.iptables -t nat -F -X ou iptables -t nat -F iptables -t nat -X
Je ne suis pas sûr que la première forme soit valide. man iptables.
iptables -A INPUT -p icmp -j ACCEPT# accepter le protocole ICMP (ex.ping)AMA il vaut mieux gérer explicitement les différents types de requêtes ICMP et laisser la règle suivante s'occuper des ICMP qui sont des réponses ou des messages d'erreur relatifs à des connexions existantes.Donc un ping de l'extérieur ne marchera pas ?
Dans ta configuration actuelle, si puisque n'importe quel type ICMP est accepté sans condition. Ce qui n'est pas forcément souhaitable.
iptables [...] -p tcp -m multiport --dports 111,2049 -j [...] iptables [...] -p tcp --dports 4000:4003 -j [...]Mais la différence entre ces deux lignes est où ? La première ports isolé et la seconde ports concécutifs ?
Exactement.
ou encore plus simplement : iptables [...] -p tcp -m mport --dport 111,2049,4000:4003 -j [...]El là, tout d'un coup ! C'est encore mieux !
En effet, la correspondance 'mport' permet de combiner des ports isolés et des intervalles de ports, ce qui manque à 'multiport'. Mais c'est une option du patch-o-matic Netfilter qui n'est pas incluse dans le noyau Linux standard.
[Par contre je me suis mélangé les pinceaux dans la syntaxe : c'est --dport pour la correspondance simple tcp|udp et --dports pour les correspondances multiport et mport.]