(Courriels de diversion: <receles@reescomptions-predisposeras.com> <occuper@refermeraient-teleguidez.com> <interstellaire@desapprendrais-flattons.com> <coulommiers@epigraphiste-foison.com> <insoler@plongeoir-chevauchements.com> <cumulerait@souscris-court-circuiteras.com> <cartonna@contribuais-jugeote.com> <examineraient@captivite-reculerions.com> <mortaise@pietineraient-nantiraient.com> <convoierais@communions-habituerait.com> )
Le 15/09/03 14:23, RIBO Thomas a écrit tout plein de choses, dont :
> >Donc 8192 est la valeur qui me va bien.
>
> Hmmm, bizarre, c'est la valeur par défaut si on passe par le machin de
> config mandrake... Vais quand même vérifier en manuel moi...
C'est même la valeur par défaut de mount si je me souviens bien, mais
bon, essaye d'autre valeur pour être sûr que ça ne vienne pas de là.
> Bon, pour netfilter, je dois pas être très doué, mais j'avoue que j'ai
> du mal. De mon point de vue, j'aimerai donner la liste des ports que je
> voudrai laisser ouverts, et qu'il ferme tous les autres. J'ai aussi des
> besoins spécifiques, à savoir laisser certains ports ouvert seulement
> sur le réseau local.
>
> Mais d'après la doc que j'ai pu compulser, ça marche avec des "chaînes".
> Alors la liste de règles que j'ai pu donner, qui "Accept" certains ports
> sous certaines conditions, peut-elle être interrompue à un moment ou à
> un autre ?
Les paquets parcourent les chaînes dans l'ordre dans lequel elles ont
étées saisies. Ainsi, si ton paquet correspond à la fois à la règle 2 et
à la 34, c'est la cible définie par la seconde règle qui sera appliqué à
ce paquet.
Donc, oui, ta liste de règles peut ne jamais voir venir les paquet en
fonction des règles qui les précédent.
> Je précise : je n'ai aucune règle "Exit chain", je n'ai que
> des règles "Accept" et la valeur par défaut est "Refuse" il me semble.
La valeur par défaut est celle que tu souhaite. De manière générale, et
dans ton cas il me semble à plus forte raison, il vaut mieux «dropper»
tout par défaut, puis accepter au fur et à mesure ensuite.
En ce qui te concerne, donc, je pense à quelquechose comme ça :
|=----- 8< ----- Couper ici / cut here ----- 8< -----=
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth_lan -j ACCEPT
#Admettons que tu acceptes le HTTP et le FTP sur cette machine :
iptables -A INPUT -i eth_internet -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth_internet -p tcp --dport 21 -j ACCEPT
#et tous les paquets qui ne correspondront pas à ces régles seront
droppés, notemment NFS.
|=----- 8< ----- Couper ici / cut here ----- 8< -----=
eth_lan étant l'interface connectée au réseau local.
eth_internet ... à internet
> J'utilise Webmin pour configurer le bouzin.
Je ne l'ai jamais utilisé pour configurer iptables, je ne connais pas
les éventuelles influences qu'il peut avoir.
Éspérant ne pas dire trop de bêtises :)
A+
--
moku
Site communautaire sur Masamune Shirow // Site d'export Japonais
http://www.projectshirow.net/ // http://www.nippon-export.com/
Ce dont je me débarasse / http://moku.free.fr/a_la_vente.html
--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>