Re: NTP et firewall
Le 13836ième jour après Epoch,
Jean-Michel OLTRA écrivait:
> Le lundi 19 novembre 2007, Sylvain a écrit...
>
>> Sortir, oui, a priori :
>> iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
>>
>> Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
>> mon script iptables :
>> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>> iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
>>
> Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les
> paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
> elles se situe en premier dans la série de règles.
Non, non, il n'y a pas d'incohérence. La première chaîne dit (pas
assez explicitement) que le port 123 en sortie est autorisé pour les
chaines new, la seconde dit "tout ce qui a déjà été established pour
tous les ports peut sortir"
Reply to: