Bayrouni a écrit :
Ci-dessys, vous trouverez la sortie de iptabels-save.Dans un premier temps, je voudrais juste permettre l'accès au serveur web et le aussi au serveur pop de mon FAI.
À tous les serveurs web ou au serveur web de ton FAI seulement, ce qui me semble un peu restrictif ?
Mais avec ces règles je ne peux pas envoyer des mail vil le SMTP qui est installé sur cette meme machine, ni en recdevoir, ni meme se connecter à un site web securisé ou non.
Il n'y a pas de règle pour autoriser les requêtes DNS (TCP et UDP 53) à sortir, ça doit empêcher toute résolution de nom.
# iptables-save # Generated by iptables-save v1.3.3 on Thu Nov 24 10:45:52 2005 *filter :INPUT DROP [4:186] :FORWARD DROP [0:0] :OUTPUT DROP [0:0] -A INPUT -i lo -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
Les deux dernières règles autorisent les connexions à n'importe quel serveur SMTP ou POP3 et pas seulement à ceux de ton FAI (il faudrait spécifier l'adresse de destination). Est-ce bien ce que tu souhaites ?
En tout cas, je ne vois rien dans la chaîne INPUT qui puisse expliquer qu'un port quelconque soit vu ouvert de l'extérieur. Par contre que tout soit ouvert en local est normal.