Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-11-2013 12:22:17

Bunny_Euchrow
Membre
Distrib. : Debian 8
Noyau : Linux 4.1.0-0.bpo.2-rt-amd64
(G)UI : Openbox, i3, XFCE
Inscription : 07-08-2012

Iptables : Sujet fleuve

Yowk,


Étant une véritable croûte en réseau et tout le toutim, je me demandais si un sujet sur iptables avec vos configurations de base ne serait pas bienvenu pour ceux qui sont dans le même cas que moi.
Le but du saint-tintouin serait de faire un sujet ou chacun posterait sa config en stipulant l'usage auquel elle serait destinée. Ainsi, les newbies dans mon genre pourrait, à force, y voir plus clair.


Voici ma config. Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.

iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT




Effectivement, l'output est dropper. Si quelqu'un pouvait me dire quelle ligne m'ouvre l'accès au web, je lui serais reconnaissant à vie.


Je vous suggère de poster vos configs, de parler sécu, de débattre avec vigueur, d'avancer vos arguments et de vous mettre cordialement sur la tronche pour faire vivre ce topic qui s'annonce salutaire pour les incorrigibles noobs dans mon genre.

Go !

Hors ligne

#2 29-11-2013 15:01:35

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

iptables -A INPUT --protocol tcp --dport 80 -j ACCEPT  ?

Dernière modification par sogal (29-11-2013 15:03:27)


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#3 29-11-2013 15:07:44

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)

D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.

Dernière modification par Vertical (29-11-2013 15:08:35)

Hors ligne

#4 29-11-2013 15:40:55

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

Vertical a écrit :

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)



Pour maintenir les régles à chaque démarrage, utilise le paquet iptables-persistent.
@Vertical: correct, j'ai omis l'https dans l'exemple.

Par ailleurs, j'ai mieux compris l'utilisation d'iptables en lisant ça:
http://olivieraj.free.fr/fr/linux/infor … 03-05.html, si ça peut aider smile


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#5 29-11-2013 18:42:32

Bunny_Euchrow
Membre
Distrib. : Debian 8
Noyau : Linux 4.1.0-0.bpo.2-rt-amd64
(G)UI : Openbox, i3, XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

J'ai utilisé iptables-persistent justement. Mais je ne pense pas vraiment en fin de compte que ma config comporte un soucis, la config proposée sur la page iptables du site ubuntu propose quelque chose de similaire.

Hors ligne

#6 29-11-2013 18:49:07

david96
Invité

Re : Iptables : Sujet fleuve

Que voilà un sujet intéressant, je voulais justement me mettre à iptables smile

#7 30-11-2013 01:58:35

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Iptables : Sujet fleuve

Vertical a écrit :

Bunny_Euchrow a écrit :

Lors d'une discussion hier sur l'irc, il m'a été souligné que la connection devrait être fermée. Or, allez savoir pourquoi, j'ai accès au web sans broncher.


Les règles iptables s'effacent à chaque reboot de GNU/Linux. Ça vient peut-être de là.

sogalpunx a écrit :

iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT  ?


iptables -A INPUT -p tcp --dports 80,443 -j ACCEPT


(le 443, c'est pour le HTTPS)

D'ailleurs, si tu veux savoir sur quels ports agir pour une utilisation précise, consulte ton fichier /etc/services.



Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#8 30-11-2013 05:38:10

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Attention INPUT = tout ce qui rentre sur ton pc ce qui veut dire dans ce cas que tu vas ouvrir le port 80 et 443 a internet donc au public



Complètement correct, au temps pour moi, grossière erreur. sad
Je commence tout juste à manipuler directement iptables et j'ai parfois un peu de mal avec les notions de ports de destinations et source, selon les connexions. hmm


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#9 30-11-2013 05:43:21

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Iptables : Sujet fleuve

Pour iptables la clé c'est la comprehension quand tu peux differencier input et output tu es sauvé smile

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#10 30-11-2013 13:02:23

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Pour iptables la clé c'est la comprehension quand tu peux differencier input et output tu es sauvé smile



smile oui parce que du coup des ports source / destination ne sont plus sur les mêmes machines et c'est bien ça qui m'a confusé smile

D'ailleurs puisqu'on est sur le sujet d'iptables, y a t'il une raisons pour que rien ne soit configuré par défaut? que tout soit ouvert?
Si un utilisateur ne pense pas à configurer ça et laisse tel quel, est-ce que ça ne représente pas un problème?


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#11 30-11-2013 19:42:13

Bunny_Euchrow
Membre
Distrib. : Debian 8
Noyau : Linux 4.1.0-0.bpo.2-rt-amd64
(G)UI : Openbox, i3, XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Ouep c'est open-bar d'origine pour un paquet de distributions. Je ne sais pas s'il y a des distos qui proposent une config de base par contre.


Et au sujet de ma config, voici la ligne qui permet à ma connection de fonctionner :

iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (01-12-2013 14:47:08)

Hors ligne

#12 02-12-2013 04:49:19

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Iptables : Sujet fleuve

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#13 02-12-2013 20:55:32

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie



En quoi est-ce différent d'un

iptables -P OUTPUT ACCEPT

??

Et en entrée, pour un PC de maison utilisant  les services réseau "standard" (web, mail, torrent, im), est-ce qu'un:

Chain INPUT (policy DROP)
num  target     prot opt source               destination        
1    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http
2    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:54752
3    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:imap2
4    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:pop3
5    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:https
6    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:domain
7    ACCEPT     tcp  --  anywhere             anywhere             tcp spt:ssh
8    ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
9    ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
10   ACCEPT     icmp --  anywhere             anywhere            
 

Dernière modification par sogal (02-12-2013 21:13:49)


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#14 03-12-2013 19:47:03

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Par défaut comme c'est un pc de maison on peut mettre juste: iptables -A OUTPUT -j ACCEPT ce qui va accepter tout en sortie


J'ai essayé (en mettant les policies par défaut à drop), je n'arrive pas à accéder au web... hmm Et en y repensant, je me dis qu'il faut bien que le trafic entrant... ben qu'il entre, justement big_smile

Voilà ma config. Si vous y voyez des faiblesses ou autres, n'hésitez pas à apporter vos remarques.


#!/bin/bash

# Loopback interface configuration
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

# DNS (résulution des noms de domaine)
/sbin/iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT

# Autoriser le trafic web http
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 80 -j ACCEPT

# Autoriser le trafic web https
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT

# Autoriser IMAP2
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 143 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 143 -j ACCEPT

# Autorisation du SMTP
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 25 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 25 -j ACCEPT

# Serveur sortant montagnisme
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 587 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 587 -j ACCEPT

# Autorisation du SSH
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 22 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 22 -j ACCEPT

# Autorisation du FTP
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 21 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT

# Autorisation de SFT
#/sbin/iptables -A INPUT -i eth0 -p tcp --sport 115 -j ACCEPT
#/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 115 -j ACCEPT


# Pour finir, interdiction de tout le reste
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP

 

Hors ligne

#15 04-12-2013 07:48:10

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Iptables : Sujet fleuve

Toujours definir les politque et nettoyer les chaines au début ca te permet d'avoir un fw propre

Exemple d'un script banal qui tourne sur un serveur web/mai/dns


iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#### local ####
iptables -A INPUT -i lo -j ACCEPT

#### INPit ####

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT

iptables -A INPUT -p tcp --dport 80  -s 0/0 -j ACCEPT
iptables -A INPUT -p tcp --dport 45118 -j ACCEPT

 



Par défaut dans tout mes fw que j'administre la politique de INPUT et FORWARD sont a DROP

Dans ton cas a toi je ne comprends pas le:


# Autoriser le trafic web http
/sbin/iptables -A INPUT -i eth0 -p tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth0 -p udp --dport 80 -j ACCEPT
 


Tu as un serveur web ?

Salutation


\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#16 04-12-2013 09:33:15

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Tu as un serveur web ?


Non non, un ordi "bureau". Tu dis ça par rapport à quoi ? Le input ou le output ?

Hors ligne

#17 04-12-2013 13:30:47

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Iptables : Sujet fleuve

Pour le input car si tu ouvre le port 80 en input c est pour le serveur web et rien d'autre et le protocole udp pour le 80 n'est pas necesaire non plus.

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#18 04-12-2013 13:53:01

Vertical
Membre
Lieu : Dans la boîte de chocolats
Distrib. : Arch GNU/Linux, Debian Wheezy (x2)
Noyau : 3.2.0-4-amd64, 3.12-0.bpo.1-amd64
(G)UI : (Open|Flux)box, Xfce
Inscription : 03-11-2013
Site Web

Re : Iptables : Sujet fleuve

MaTTuX_ a écrit :

Pour le input car si tu ouvre le port 80 en input c est pour le serveur web


J'ai essayé de fermer le port 80 en input. Résultat : plus d'accès internet ! sad (en gros, par rapport à mon script précédent, j'ai commenté les 2 lignes INPUT sur le port 80). Donc y'a un truc que je ne pige pas, mais alors pas du tout...

MaTTuX_ a écrit :

le protocole udp pour le 80 n'est pas necesaire non plus


Je le pensais aussi, jusqu'à ce que je me rende compte que c'était le seul moyen pour que je puisse accéder à mon site web.

Hors ligne

#19 04-12-2013 14:45:19

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

En fait, en INPUT tu autorises les entrées qui arrivent d'un port 80 ou 443 (les ports du serveurs web auquel tu te connectes) donc => --sport
Mais tu n'autorises pas les connections entrantes sur TES ports 80 / 443 à toi => --dport

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#20 09-01-2014 14:28:08

Bunny_Euchrow
Membre
Distrib. : Debian 8
Noyau : Linux 4.1.0-0.bpo.2-rt-amd64
(G)UI : Openbox, i3, XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Bon, ai refait une config plus propre, lisible. J'en ai profité pour l'utiliser directement avec init.d plutôt qu'avec iptables-persistent.
J'ai évidemment commenté ce dont je ne me sers pas actuellement (de toute façon, ma box file des ip dynamiques, donc pour faire serveur, c'est moyen)




#!/bin/bash

### BEGIN INIT INFO
# Provides:          firewall
# Required-Start:    $remote_fs $syslog $local_fs $network
# Required-Stop:     $remote_fs $syslog $local_fs $network
# Should-Start:      $named
# Should-Stop:       $named
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Applique des règles iptables
# Description:       Ce script contient le paramétrage du pare-feu
### END INIT INFO



#Nettoyage des règles existantes
iptables -t filter -F
iptables -t filter -X


#Règles par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT


#Drop des scans
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP


# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


# Autoriser loopback
iptables -t filter -A INPUT -i lo -j ACCEPT


# ICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT


#Serveur Web
#iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 8443 -j ACCEPT


#Si vous hébergez un serveur FTP :
# FTP Out
#iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT


# FTP In
#modprobe ip_conntrack_ftp
#iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
 






Par contre, il y a un truc qui m'échappe : ici, l'output est accepté par défaut. C'est bien mais ça ne me rassure pas. Mais si je drop l'output et que j'ajoute une ligne accept pour les connections établies ainsi que pour l'http et https, je n'ai pas accès au web.



EDIT : j'ai trouvé
Si dans les connections établies, je mets ceci :

 iptables -A OUPUT -m state --state RELATED,ESTABLISHED -j ACCEPT


eh ben ça ne marche pas.

Mais ça marche avec ceci :

iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (09-01-2014 14:51:07)

Hors ligne

#21 09-01-2014 16:56:05

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Iptables : Sujet fleuve

Bunny_Euchrow a écrit :

Si dans les connections établies, je mets ceci :
iptables -A OUPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

eh ben ça ne marche pas.

Mais ça marche avec ceci :
iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT

Dernière modification par Bunny_Euchrow (Aujourd'hui 08:51:07)



Salut,

Si je comprends bien la logique, la première ne marche pas car tu n'autorises que les connexions déjà établies à sortir.
Mais comme tu n'autorises à l'entrée que les connexions déjà établies (que tu as établies en sortie), ça se mort la queue smile


Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#22 09-01-2014 17:17:39

Bunny_Euchrow
Membre
Distrib. : Debian 8
Noyau : Linux 4.1.0-0.bpo.2-rt-amd64
(G)UI : Openbox, i3, XFCE
Inscription : 07-08-2012

Re : Iptables : Sujet fleuve

Merci beaucoup.

N'hésitez pas à poster vos configs d'ailleurs.

Hors ligne

Pied de page des forums