Re: iptable : stop du firewall
Troumad a écrit, lundi 16 mai 2005, à 11:17 :
> Jacques L'helgoualc'h a écrit :
[...]
> >> $ipt -A INPUT -p tcp --dport 22 -j ACCEPT
> >>
> >>
> >
> >ajoute -i le_bon-eth --source ton_ip_distante, voire même si tu es
> >parano et en local -m mac --mac-source ...
> >
> >
> J'ai plusieurs PC sur mon réseau local...
Bon,
LAN=192.168.1.0/24
ETH_LAN=eth42
-i "$ETH_LAN" --source "$LAN" ...
(il y a aussi des options possibles via /proc/...)
> >Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une
> >règle symétrique en OUTPUT que je laisse en exercice.
> >
> Très bonne idée. Dès que j'aurais le temps je m'y penche.
Le retour des paquets précédents :
$ipt -I OUTPUT -o "$ETH_LAN" -d "$LAN" -p tcp --sport 22 -j ACCEPT
> Il va falloir que je bosse maintenant. Peut-être un peu mercredi si
> les enfants me laissent ou jeudi AM ou 2 ou 3 troux car j'ai envie de
> comprendre ! Ce sera mieux que de copier bêtement un paquet d'engin en
> essayant d'en comprendre certains (le plus possible) tout en ayant
> oublié un important (sinon, je n'aurais pas eu ce problème).
Le plus commode quand tu as confiance dans ton OUTPUT, c'est d'autoriser
en INPUT les -m state --state ESTABLISHED,RELATED
mais ici c'est dans l'autre sens pour ton serveur, il faut ouvrir
d'abord l'entrée ... sans oublier la sortie correspondante !
> >Tu peux aussi ouvrir le ping et l'UDP.
> >
> Pourquoi l'UDP en général ?
Voilà, ça vient, bonne remarque :) --- l'UDP dont tu pourrais avoir besoin.
--
Jacques L'helgoualc'h
Reply to: