Re: config de iptables
Le 12913ième jour après Epoch,
david hannequin écrivait:
> Bonjour,
>
> OS debian Woody
> J'ai mis les régles d'iptables comme ci-dessous :
>
> LAN=192.168.0.0/24
> # Suppression de toutes les régles
> iptables -F
> iptables -X
>
> # Politique par défaut RIEN NE PASSE
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # Pour accepter tout ce qui se passe sur l'interface lo
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Pour accepter tout ce qui passe sur le réseau local
> iptables -A INPUT -s $LAN -j ACCEPT
> iptables -A OUTPUT -d $LAN -j ACCEPT
> iptables -A FORWARD -s $LAN -j ACCEPT
>
> # Pour accepter le dns
> iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
> iptables -A INPUT -p udp --sport 53 -j ACCEPT
>
> # Pour le serveur Web
> iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
> iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT
>
> iptables -A INPUT -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -p tcp --dport 443 -j ACCEPT
>
> # Pour le serveur ssh
> iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>
>
> Mais quand j'essaye de faire apt-get update il n'arrive pas à
> télécharger les mises à jour.
Normal. Rien n'autorise quoi que ce soit à sortir spontanément.
Quelques remarques:
1) Tu acceptes tout ce qui viens du réseau local? C'est pas un peu
dangereux ça? En général, c'est par là que ça passe. D'autant plus
que ta directive INPUT ne tiens pas compte de l'interface qui
reçoit les paquets "locaux".
2) Le DNS passe aussi par TCP des fois
3) Tu devrais utiliser des choses comme RELATED, ESTABLISHED,
etc.. pour qualifier les paquets.
Reply to: