[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [RESOLU] Re: firewall et ntp

Effectivement, la première règle autorise le rebond --> pas très cool.

2005/12/18, Bayrouni <bayrouni@brutele.be>:
Jean-Michel OLTRA wrote:
>     bonjour,
>
>
> Le dimanche 18 décembre 2005, Bayrouni a écrit...
>
>
>
>>#iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport
>>123 -d 0/0 --dport 123 -j ACCEPT
>>fin de citation
>
>
> C'est un peu bizarre comme règle : on part du principe qu'un paquet est
> accepté si il provient du port 123 (--sport 123) et qu'il est destiné au
> port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine
> possède  un serveur de temps ou contacte un serveur de temps.
>

Oui, je n'osais pas le dire (règle bizarre).

>
>
> Si la machine doit contacter un serveur de temps elle doit pouvoir faire
> sortir des paquets à destination du port 123 (OUTPUT), mais également
> permettre à ces paquets de « revenir », donc en provenance du port 123,
> mais cette fois ce en INPUT.
>

En effet, j'ai suivi cette logique et le resultat
est probant:
PC A (gateway):
##################
iptables --append INPUT --match tcp --protocol tcp
         --source 0/0 --sport 123 --jump ACCEPT

iptables --append INPUT --match udp --protocol udp
--source 0/0 --sport 123 --jump ACCEPT

iptables --append OUTPUT --match tcp --protocol
tcp --destination 0/0 --dport 123 --jump ACCEPT

iptables --append OUTPUT --match udp --protocol
udp --destination 0/0 --dport 123 --jump ACCEPT


PC B (client de A):
######################
iptables --append INPUT --match tcp --protocol tcp
--source 192.168.0.1 --sport 123 --jump ACCEPT

iptables --append INPUT --match udp --protocol udp
--source 192.168.0.1 --sport 123 --jump ACCEPT

iptables --append OUTPUT --match tcp --protocol
tcp --destination 192.168.0.1 --dport 123 --jump
ACCEPT

iptables --append OUTPUT --match udp --protocol
udp --destination 192.168.0.1 --dport 123 --jump
ACCEPT
#######################################################"

les differents utilitaires ntp prouvent que A se
synchronise sur le serveur ntp internet
et que B se synchronise sur le serveur A local

Merci Jean Michel Oltra
Bayrouni


--
Pensez � lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org


Reply to: