[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [IPTABLES] Comment lister les paquets rejet és ?

Bonjour


Le Dimanche 8 Juin 2014 00:59 CEST, Philippe Gras <ph.gras@worldonline.fr> a écrit:

> Le 8 juin 14 à 00:29, Christophe a écrit :
>
> > Bonjour,
> >
> > Le 07/06/2014 23:21, nb a écrit :
> >>
> >> Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras
> >> <ph.gras@worldonline.fr> a écrit:
> >>
> >>>> INPUT ne sert pas pour une connexion déjà établie, seulement pour
> >>>> l'établissement d'une connexion (paquet tcp syn)
> >
> > Pas tout à fait d'accord avec ça, mais rien à voir avec Debian,  > comme tu
> > l'as précédemment précisé ...
> > (c'est du noyau linux dont il est question ici).
> >

[...]

> J'ai l'impression que ça sert surtout en ligne de commande. Rectifiez- moi si je me trompe !
> Parce que la subtilité m'échappe. Moi, j'ai un script avec des -P au
> début pour définir toute
> la police, et ensuite, je n'ai que des -A. Mais si ça se trouve, ça  devrait être des -N partout ?
> >
> >>
> >> Concernant tes règles "ESTABLISHED" il serait judicieux de les
> >> taper en interactif. Elles n'ont pas trop leur place dans un
> >> script après les règles INPUT.
> >
> > La, il va falloir que tu éclaires quelques lanternes ... ;)
>
> Oui, pourquoi ?

Ce que je voulais dire, c'est que quand un script est appliqué avec les règles de DROP sur INPUT au début, il n'est pas nécessaire de faire en plus à la fin du script un DROP sur des connexions établies de même type. Puisque par définition, elles ne peuvent pas l'être car interdites.

Dans le cas qui nous occupe ici, la connexion a été établie de manière antérieure au script. Du coup malgré les INPUT, la connexion restait présente. Le DROP sur ESTABLISHED devenait indispensable.
Mais uniquement de manière ponctuelle. C'est pourquoi je disais qu'il fallait le faire en intéractif.

Je pards bien sur du fait qu'un script a pour vocation à être re-joué plusieurs fois.
L'incompréhension vient peut-être de là. J'opposais intéractif à script.


Par ailleurs, même en intéractif après un '-A' ou '-I' pour la règle d'INPUT, il faut faire ensuite un '-D'. Car il n'est pas nécessaire de conserver des règles devenues inutiles.

Bon dimanche
Reply to: