Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Linux Autres OS Linux Debian iptable : stop du firewall

iptable : stop du firewall

4 réponses
Avatar
Troumad
Bonjour

Encore moi sur iptable !

Voici la règle qui m'a été donnée sur cette liste :
$ipt -F
$ipt -t nat -F
$ipt -t mangle -F

$ipt -X
$ipt -t nat -X
$ipt -t mangle -X

$ipt -P INPUT DROP
$ipt -P OUTPUT DROP
$ipt -P FORWARD DROP
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT

$ipt -A OUTPUT -o lo -j ACCEPT
$ipt -A INPUT -i lo -j ACCEPT

Le problème est que je n'accède à mon serveur que par ssh car il n'a pas
d'écran. Et le stop me coupe l'accès à mon serveur :(. J'ai du y
rajouter clavier/écran afin de corriger et faire quelques essais. Je me
suis dir qu'en rajoutant cette ligne ça devrait marcher, mais ce n'est
pas suffisant :(

$ipt -A INPUT -p tcp --dport 22 -j ACCEPT

--
Amicalement vOOotre Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme
http://fr.openoffice.org


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Signaler un problème avec ce contenu

4 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Jacques L'helgoualc'h
Troumad a écrit, lundi 16 mai 2005, à 09:43 :
Bonjour



bonjour,

Encore moi sur iptable !

Voici la règle qui m'a été donnée sur cette liste :
[...]



C'était bien précisé pour *fermer*, hein :)

Le problème est que je n'accède à mon serveur que par ssh car il n'a pas
d'écran. Et le stop me coupe l'accès à mon serveur :(. J'ai du y
rajouter clavier/écran afin de corriger et faire quelques essais. Je me
suis dir qu'en rajoutant cette ligne ça devrait marcher, mais ce n'est
pas suffisant :(

$ipt -A INPUT -p tcp --dport 22 -j ACCEPT



ajoute -i le_bon-eth --source ton_ip_distante, voire même si tu es
parano et en local -m mac --mac-source ...

Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une
règle symétrique en OUTPUT que je laisse en exercice. Tu peux aussi
ouvrir le ping et l'UDP.

--
Jacques L'helgoualc'h


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Troumad
Jacques L'helgoualc'h a écrit :

Troumad a écrit, lundi 16 mai 2005, à 09:43 :


Bonjour





bonjour,



Encore moi sur iptable !

Voici la règle qui m'a été donnée sur cette liste :
[...]





C'était bien précisé pour *fermer*, hein :)



Le problème est que je n'accède à mon serveur que par ssh car il n'a pas
d'écran. Et le stop me coupe l'accès à mon serveur :(. J'ai du y
rajouter clavier/écran afin de corriger et faire quelques essais. Je me
suis dir qu'en rajoutant cette ligne ça devrait marcher, mais ce n'est
pas suffisant :(

$ipt -A INPUT -p tcp --dport 22 -j ACCEPT





ajoute -i le_bon-eth --source ton_ip_distante, voire même si tu es
parano et en local -m mac --mac-source ...




J'ai plusieurs PC sur mon réseau local...

Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une
règle symétrique en OUTPUT que je laisse en exercice.



Très bonne idée. Dès que j'aurais le temps je m'y penche. Il va falloir
que je bosse maintenant. Peut-être un peu mercredi si les enfants me
laissent ou jeudi AM ou 2 ou 3 troux car j'ai envie de comprendre ! Ce
sera mieux que de copier bêtement un paquet d'engin en essayant d'en
comprendre certains (le plus possible) tout en ayant oublié un important
(sinon, je n'aurais pas eu ce problème).

Tu peux aussi ouvrir le ping et l'UDP.



Pourquoi l'UDP en général ?
--
Amicalement vOOotre Troumad Alias Bernard SIAUD
mon site : http://troumad.free.fr : AD&D maths WEB sectes
Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html
N'envoyez que des documents avec des formats ouverts, comme
http://fr.openoffice.org


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Jacques L'helgoualc'h
Troumad a écrit, lundi 16 mai 2005, à 11:17 :
Jacques L'helgoualc'h a écrit :


[...]
>> $ipt -A INPUT -p tcp --dport 22 -j ACCEPT
>>
>>
>
>ajoute -i le_bon-eth --source ton_ip_distante, voire même si tu es
>parano et en local -m mac --mac-source ...
>
>
J'ai plusieurs PC sur mon réseau local...



Bon,

LAN2.168.1.0/24
ETH_LAN=eth42

-i "$ETH_LAN" --source "$LAN" ...

(il y a aussi des options possibles via /proc/...)

>Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une
>règle symétrique en OUTPUT que je laisse en exercice.
>
Très bonne idée. Dès que j'aurais le temps je m'y penche.



Le retour des paquets précédents :

$ipt -I OUTPUT -o "$ETH_LAN" -d "$LAN" -p tcp --sport 22 -j ACCEPT

Il va falloir que je bosse maintenant. Peut-être un peu mercredi si
les enfants me laissent ou jeudi AM ou 2 ou 3 troux car j'ai envie de
comprendre ! Ce sera mieux que de copier bêtement un paquet d'engin en
essayant d'en comprendre certains (le plus possible) tout en ayant
oublié un important (sinon, je n'aurais pas eu ce problème).



Le plus commode quand tu as confiance dans ton OUTPUT, c'est d'autoriser
en INPUT les -m state --state ESTABLISHED,RELATED

mais ici c'est dans l'autre sens pour ton serveur, il faut ouvrir
d'abord l'entrée ... sans oublier la sortie correspondante !

>Tu peux aussi ouvrir le ping et l'UDP.
>
Pourquoi l'UDP en général ?



Voilà, ça vient, bonne remarque :) --- l'UDP dont tu pourrais avoir besoin.
--
Jacques L'helgoualc'h


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Pascal
Salut,

Troumad a écrit :

Ce n'est pas le tout, il faut bien que les paquets reviennent, donc une
règle symétrique en OUTPUT que je laisse en exercice.





Ou bien utiliser le bien pratique suivi de connexion (ESTABLISHED).

Très bonne idée. Dès que j'aurais le temps je m'y penche. Il va falloir
que je bosse maintenant. [...] Ce sera mieux que de copier bêtement un
paquet d'engin



Effectivement. Ce n'est pas bien compliqué, les différents howtos et
tutoriels disponibles sur www.netfilter.org et lea-linux sont assez clairs.

en essayant d'en comprendre certains (le plus possible) tout en ayant
oublié un important (sinon, je n'aurais pas eu ce problème).



Il vaut mieux que ce soit dans ce sens, ainsi tu t'en rends vite compte.
Si tu avais au contraire laissé un trou béant, tout aurait marché quand
même et tu ne t'en serais pas rendu compte aussi facilement. C'est
pourquoi la bonne politique est de tout bloquer par défaut et d'accepter
au cas par cas plutôt que l'inverse.

Tu peux aussi ouvrir le ping et l'UDP.



Pourquoi l'UDP en général ?



Entre autres pour le DNS et le traceroute, ça peut être utile.


--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact