Re: iptables autorisation DNS, SSH et ping
Tahar BEN ACHOUR a écrit :
>
> Alors voilà, mes deux cartes réseaux eth1 et eth2, eth2 étant
> l'interface publique qui va recevoir les requêtes DNS et ping et eth0
> l'accès ssh
>
> #Politique par défaut deny all
>
> iptables -A INPUT -P DROP
> iptabels -A OUTPUT -P DROP
> iptables -A FORWARD -P DROP
>
> #Authorisation de SSH
>
> iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
> iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #pour éviter les coupures
Qué coupures ? Cette règle, ainsi que la suivante, dites de "suivi de
connexion", servent à ne pas se préoccuper de la suite de la connexion
une fois le premier paquet accepté.
> iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>
> #authorisation du ping
Pas de "h" en français.
> iptables -A INPUT -i eth1 -p icmp -j ACCEPT
Trop laxiste, ça accepte tous les ICMP et pas seulement le ping (ICMP
echo). Cf. la réponse de sleepewig.
> iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT
Inutile, la règle de suivi de connexion s'en occupe déjà.
> #authorisation des requêtes DNS
>
> iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT
Accepter aussi en TCP, cf. la réponse de Stéphane.
> iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT
Cette règle accepte les requêtes DHCP sortantes, ce n'est pas ce qui été
décrit plus haut.
Reply to: