Re: Petite question iptables

[David BERCOT <debian@bercot.org>]

Le Mon, 26 Jan 2009 17:34:07 +0100,
Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
> David BERCOT a écrit :
> > Pascal Hambourg <pascal.mail@plouf.fr.eu.org> a écrit :
> >> David BERCOT a écrit :
> >>> Mais avec l'adresse de la machine (comme je l'ai mis dans un autre
> >>> post), ça semble ok :
> >>> iptables -t filter -A INPUT -p tcp --source 'adresse_ip' -j ACCEPT
> >> L'adresse de la machine, tu veux dire du serveur ?
> > 
> > Toutafé ;-)
> 
> Un paquet émis par le serveur (puisqu'avec son adresse source) et
> reçu par lui-même (puisque traversant chaîne INPUT) passe forcément
> par l'interface de loopback lo. Par conséquent c'était l'option -s
> 127.0.0.1 dans la règle autorisant le trafic sur cette interface qui
> le bloquait. Si tu as supprimé cette option, la règle supplémentaire
> ci-dessus ne devrait plus être nécessaire.

Ah, exact ;-) Je vais tester ça tout de suite ! Si je peux mettre une
ligne en moins, c'est toujours ça de gagné !
Bon, ça marche. Tu avais donc raison (même si je n'en ai pas
douté ;-))).

> >> Ah zut, c'est vrai. Donc ce serait bien l'absence de la cible LOG
> >> qui gêne shorewall.
> > 
> > Oui, apparemment. Ca me semble bizarre que cette cible ait été
> > supprimée. Mais bon, j'imagine qu'il doit y avoir une bonne raison
> > (ou alors, c'est oubli ;-))).
> 
> Sûrement un oubli. Parce que pour débugger et journaliser le firewall 
> sans ça...

Oui, mais malheureusement, je leur ai déjà écrit sur ce sujet et ils
m'ont clairement répondu que le noyau était fixe et qu'on ne pouvait
rien faire à moins de prendre une autre offre !
Peut-être qu'ils le changeront prochainement.
En attendant, je n'aurais pas de log là-dessus et c'est bien dommage.

David.