Le 18/09/2019 à 18:12, G2PC a écrit :
Ok super, je vais faire comme tu le proposes. Enregistrer le fichier regles-iptables-inactives doit permettre de revenir rapidement en arrière en cas de blocage, je suppose.
Plus simple, faire un script comme # Flush all $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t nat -X $IPTABLES -t mangle -F $IPTABLES -t mangle -X # Accept all by default $IPTABLES -P INPUT ACCEPT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT $IPTABLES -t mangle -P INPUT ACCEPT $IPTABLES -t mangle -P OUTPUT ACCEPT # This server is a GW for Intranet $IPTABLES -t nat -A POSTROUTING -j MASQUERADE et le tour est joué
Ok pour * filter que je vais commenter. Par contre, sur certains tutoriels, je lisais qu'il était conseillé d'appliquer les règles suivantes à la fin du script. Est ce qu'on ne risque pas d'être déconnecté du serveur distant, immédiatement après la lecture des 3 premières lignes ? -P INPUT DROP -P FORWARD DROP -P OUTPUT DROP
Non, sauf si ton script plante en cours d'exécution. Une bonne hygiène est de régler ton script FW en étant devant la console, ou alors à distance *SANS* activer le script au démarrage de la machine. Une session ssh (ou tout autre service) déjà ouverte ne sera pas interrompue si le script fonctionne bien.
Le 18/09/2019 à 18:05, Daniel Huhardeaux a écrit :Le 18/09/2019 à 17:41, G2PC a écrit :Très bien je prend note, j'appliquerais après avoir flush : sudo iptables -P INPUT ACCEPT sudo iptables -P FORWARD ACCEPT sudo iptables -P OUTPUT ACCEPTNon ! Les flush, puis: sudo iptables -A INPUT ACCEPT sudo iptables -A FORWARD ACCEPT sudo iptables -A OUTPUT ACCEPT $IPTABLES-save > /path/vers/le/fichier/iptablesInactif sudo iptables -P INPUT DROP sudo iptables -P FORWARD DROP sudo iptables -P OUTPUT DROP Mais vu que déjà tu t'emmêles les pédales ;) et ne veux pas sauvegarder les règles inactives, laisse tomber: fais les flush puis les DROPSi * filter est implicite, je n'ai donc pas à l'ajouter dans mon script , on est bien d'accord sur ce point ?Oui, voir le man iptables.