Petite question iptables [Was Re: Shorewall, iptables et noyau ?]
Re-bonjour,
Le Mon, 26 Jan 2009 11:10:47 +0100,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
> >> Il faudrait regarder
> >> quelle règle générée par shorewall provoque l'erreur en suivant
> >> les instructions de la page que tu cites dans ton premier message.
> >> Il manque la cible LOG, ça pourrait venir de là.
> Non, je suggérais de faire ce qui est décrit là :
> <http://www.shorewall.net/troubleshoot.htm#Start-shell>.
> Soit ajouter l'option "-vv" pour augmenter la "verbosité"
> shorewall -vv [re]start
Je garde ça de côté, mais, comme j'aurais visiblement des problèmes,
j'en profite pour essayer de passer à la configuration pour homme ;-)
Après quelques recherches et lectures, je lance la configuration
suivante :
# Vidage des règles (éventuelles)
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
# Politique générale
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
# Boucle locale
iptables -t filter -A INPUT -s 127.0.0.1 -i lo -j ACCEPT
# Retour des requêtes lancées depuis l'intérieur
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j
ACCEPT
# Règles autorisées
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
J'espère que les exemples que j'ai trouvés sont bons ;-)
Il me reste toutefois un souci. Je souhaite utiliser sslh (merci
Yves ;-))). J'ai donc un port unique en entrée et 2 ports en local.
Si je fais uniquement :
iptables -A INPUT -p tcp --dport port_entrée -j ACCEPT
ça ne marche pas !!!
J'ai fait le test avec la même ligne que ci-dessus mais pour les 2
ports en local, et là, ça fonctionne. Toutefois, j'imagine qu'il doit y
avoir une possibilité pour ne pas ouvrir de l'extérieur les 2 ports qui
n'ont besoin d'être accessibles qu'en interne...
Mais là, je sèche sur la syntaxe...
Auriez-vous une piste ?
Merci d'avance (et à Pascal pour sa patience ;-))).
David.
Reply to: