voilà, j'ai commencé à mettre en place un pare-feu iptables sous Linux
2.6.24, et je me trouve confronté à un problème que je comprends pas.
Pour exemple, voici la configuration du pare-feu telle que représentée
par iptables-save :
*filter
:INPUT DROP [30:1224]
:FORWARD DROP [0:0]
:OUTPUT DROP [23:316946]
Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête
semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait pas
en compte la règle.
Pour que cela marche, je suis obligé de rajouter les deux règles :
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Ce que je ne comprends pas, c'est que dans mes ouvrages de référence, je
ne vois ces règles nul part. De plus, j'ai l'impression qu'elles
"annulent" d'autres règles ...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
vlade_imir
Le 05 Jun 2008 11:14:25 GMT,
Bonjour à tous,
voilà, j'ai commencé à mettre en place un pare-feu iptables sous Linux 2.6.24, et je me trouve confronté à un problème que je comprends pas. Pour exemple, voici la configuration du pare-feu telle que représentée par iptables-save :
*filter :INPUT DROP [30:1224] :FORWARD DROP [0:0] :OUTPUT DROP [23:316946]
Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait pas en compte la règle. Pour que cela marche, je suis obligé de rajouter les deux règles :
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Ce que je ne comprends pas, c'est que dans mes ouvrages de référence, je ne vois ces règles nul part. De plus, j'ai l'impression qu'elles "annulent" d'autres règles ...
Qu'en pensez-vous ?
En effet, les 2 dernières règles "annulent" tout.
Bonne journée à tous
Jérémie
Donc voici ma version plus conforme et sécurisée de votre configuration ;) :
#Configuration de l'interface de loopback lo :
iptables -A INPUT -i lo -m state --state ! INVALID -j ACCEPT iptables -A OUTPUT -o lo -m state --state ! INVALID -j ACCEPT
#Autorisation du trafic RELATED et ESTABLISHED sur eth0:
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o etho -m state --state RELATED,ESTABLISHED -j ACCEPT
#Configuration pour autoriser l'entrée du trafic sur les ports 80 et 443:
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,443 -m state --state NEw -j ACCEPT
Voilà, en espérant que cela vous aide.
Le 05 Jun 2008 11:14:25 GMT,
Bonjour à tous,
voilà, j'ai commencé à mettre en place un pare-feu iptables sous
Linux 2.6.24, et je me trouve confronté à un problème que je
comprends pas. Pour exemple, voici la configuration du pare-feu telle
que représentée par iptables-save :
*filter
:INPUT DROP [30:1224]
:FORWARD DROP [0:0]
:OUTPUT DROP [23:316946]
Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête
semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait
pas en compte la règle.
Pour que cela marche, je suis obligé de rajouter les deux règles :
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Ce que je ne comprends pas, c'est que dans mes ouvrages de référence,
je ne vois ces règles nul part. De plus, j'ai l'impression qu'elles
"annulent" d'autres règles ...
Qu'en pensez-vous ?
En effet, les 2 dernières règles "annulent" tout.
Bonne journée à tous
Jérémie
Donc voici ma version plus conforme et sécurisée de votre configuration ;) :
#Configuration de l'interface de loopback lo :
iptables -A INPUT -i lo -m state --state ! INVALID -j ACCEPT
iptables -A OUTPUT -o lo -m state --state ! INVALID -j ACCEPT
#Autorisation du trafic RELATED et ESTABLISHED sur eth0:
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o etho -m state --state RELATED,ESTABLISHED -j ACCEPT
#Configuration pour autoriser l'entrée du trafic sur les ports 80 et 443:
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,443 -m state --state NEw -j ACCEPT
voilà, j'ai commencé à mettre en place un pare-feu iptables sous Linux 2.6.24, et je me trouve confronté à un problème que je comprends pas. Pour exemple, voici la configuration du pare-feu telle que représentée par iptables-save :
*filter :INPUT DROP [30:1224] :FORWARD DROP [0:0] :OUTPUT DROP [23:316946]
Mon problème c'est que lorsque j'ouvre mes ports http(s), la requête semble entrer, mais pas sortir, comme si la table OUTPUT ne prenait pas en compte la règle. Pour que cela marche, je suis obligé de rajouter les deux règles :
-A INPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
Ce que je ne comprends pas, c'est que dans mes ouvrages de référence, je ne vois ces règles nul part. De plus, j'ai l'impression qu'elles "annulent" d'autres règles ...
Qu'en pensez-vous ?
En effet, les 2 dernières règles "annulent" tout.
Bonne journée à tous
Jérémie
Donc voici ma version plus conforme et sécurisée de votre configuration ;) :
#Configuration de l'interface de loopback lo :
iptables -A INPUT -i lo -m state --state ! INVALID -j ACCEPT iptables -A OUTPUT -o lo -m state --state ! INVALID -j ACCEPT
#Autorisation du trafic RELATED et ESTABLISHED sur eth0:
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o etho -m state --state RELATED,ESTABLISHED -j ACCEPT
#Configuration pour autoriser l'entrée du trafic sur les ports 80 et 443:
iptables -A INPUT -i eth0 -p tcp -m multiport --dport 80,443 -m state --state NEw -j ACCEPT