Re: iptables autorisation DNS, SSH et ping

To: DEBIAN <debian-user-french@lists.debian.org>
Subject: Re: iptables autorisation DNS, SSH et ping
From: Pascal Hambourg <pascal.mail@plouf.fr.eu.org>
Date: Tue, 01 Jun 2010 17:26:04 +0200
Message-id: <[🔎] 4C05268C.50401@plouf.fr.eu.org>
In-reply-to: <705731.75022.qm@web26307.mail.ukl.yahoo.com>
References: <705731.75022.qm@web26307.mail.ukl.yahoo.com>

Tahar BEN ACHOUR a écrit :
> 
> Alors voilà, mes deux cartes réseaux eth1 et eth2, eth2 étant
> l'interface publique qui va recevoir les requêtes DNS et ping et eth0
> l'accès ssh 
> 
> #Politique par défaut deny all
> 
> iptables -A INPUT -P DROP
> iptabels -A OUTPUT -P DROP
> iptables -A FORWARD -P DROP
> 
> #Authorisation de SSH
> 
> iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures

Qué coupures ? Cette règle, ainsi que la suivante, dites de "suivi de
connexion", servent à ne pas se préoccuper de la suite de la connexion
une fois le premier paquet accepté.

> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> 
> #authorisation du ping

Pas de "h" en français.

> iptables -A INPUT -i eth1 -p icmp -j ACCEPT 

Trop laxiste, ça accepte tous les ICMP et pas seulement le ping (ICMP
echo). Cf. la réponse de sleepewig.

> iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT

Inutile, la règle de suivi de connexion s'en occupe déjà.

> #authorisation des requêtes DNS
> 
> iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT

Accepter aussi en TCP, cf. la réponse de Stéphane.

> iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT

Cette règle accepte les requêtes DHCP sortantes, ce n'est pas ce qui été
décrit plus haut.

Reply to:

Prev by Date: Re: Samsung CE0168 et lenny
Next by Date: Re: iptables autorisation DNS, SSH et ping
Previous by thread: Re: [HS] écran noir avec google earth [Résolu]
Next by thread: Re: iptables autorisation DNS, SSH et ping
Index(es):
- Date
- Thread