Serge Cavailles a écrit :
iptables -A INPUT -i $IFLAN -p tcp --dport 80 -j ACCEPTpermettrait l'accès depuis le lan au serveur web de l'hôte, pour autant que le serveur web écoute sur cet interface.
J'aurais tendance à penser qu'un serveur écoute généralement sur une adresse plutôt qu'une interface, sauf cas particuliers comme DHCP.
Pour que le client reçoive sa réponse, il faudra de plus ajouter iptables -A OUTPUT -o $IFLAN -p tcp --sport 80 -j ACCEPT
C'est mal de se baser seulement sur le port source. Gros trou de sécurité en vue.
(ou bien utiliser le state related)
Les paquets de réponse sont plutôt classés dans l'état ESTABLISHED. RELATED c'est pour les messages d'erreur ICMP et les connexions liées des protocoles compliqués comme FTP.
echo -n "On laisse tout ouvert vers le net" iptables -A OUTPUT -o $IFEXT -j ACCEPTCela revient à laisser OUTPUT en ACCEPT.
Pas tout à fait : ça n'accepte que ce qui sort vers l'extérieur mais pas vers le LAN.