(Courriels de diversion: <nantiraient@convoierais-communions.com> <habituerait@bue-raisonnablement.com> <trichant@manutentionnais-euphemique.com> <violacees@muraille-debiteras.com> <phlebites@ressoudant-polycopiees.com> <recoururent@jalousiez-border.com> <naît@astucieux-impulserent.com> <cinq@resplendissantes-ruses.com> <morguer@locataire-vainqueurs.com> <anesthesiee@synthetise-renfrogniez.com> )
Le 15/09/03 15:07, CleeK a écrit tout plein de choses, dont :
> > iptables -P OUTPUT DROP
> > iptables -P FORWARD DROP
>
> > iptables -A OUTPUT -j ACCEPT
>
> Ne sert à rien, autant mettre un iptables -P OUTPUT ACCEPT
Absolument... l'habitude :)
> > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[...]
> > iptables -A INPUT -i eth_internet -p tcp --dport 21 -j ACCEPT
>
> Ca m'étonnerait que ça marche pour le FTP, c'est un peu plus fin à
> configurer avec iptables (surtout en policy OUTPUT à DROP).
>
> Il faut tenir compte du canal de données (port 20) et des modes FTP
> (actif/passif), et il en faut entre 2 et 4 regles pour chacun si je me
> souviens bien. C'est OK pour le HTTP.
Pas que je sâche : netfilter est un filtre à état, et sauf erreur, ceci
suffit pour qu'il puisse ensuite traiter comme il convient les paquets
suivants. (puisque j'ai mis la règle concernant les paquets «related» en
début)
Et donc dans la mesure où le serveur FTP écoute sur le port 21, ça
devrait suffire.
Maintenant, mes serveurs FTP sont tous derrière la passerelle et non pas
sur celle-ci, donc je peux dire de grosses bêtises puisque mes règles ne
sont pas du tout les mêmes (mais marchent !) :-)
A+
--
moku
Site communautaire sur Masamune Shirow // Site d'export Japonais
http://www.projectshirow.net/ // http://www.nippon-export.com/
Ce dont je me débarasse / http://moku.free.fr/a_la_vente.html
--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>