Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a �crit : > Touch13 a �crit : > > D'ou les lignes de commentaires ;-) > > Il n'avait sembl� que grace � elles on pouvait s'en sortir. Je le > > saurais pour > > > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et > > je te > > > donnerais plus d'explication. > > T'en fait pas. En fait ce qui m'a troubl� un peu au d�part, c'est ton > utilisation des variables. Apr�s l'avoir relu au calme, �a a �t� mieux. > Alors, j'en suis o�? Et bien �a marche : > - J'arrive � faire un ssh sur ma passerelle, depuis le lan comme de > l'ext�rieur. > - De ma passerelle et de mon lan, je surf, je peux envoyer et r�cup�rer > mon courrier, et ma r�solution de noms fonctionne bien > - de mon lan, j'acc�de � mon serveur samba (situ� sur la passerelle). > > Mais il me reste des coins d'ombre, sur ce qu'on pr�cise en INPUT/OUTPUT > avec -dport et -sport. Par exemple, j'ai les lignes suivantes : > iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j > ACCEPT > iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT > - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut > acc�der aux services locaux -dport 137:139 en INPUT > - idem, � l'inverse en OUTPUT avec comme port source 137:139. Je ne vais > pas indiquer ici -dport, puisque j'imagine que le client smb attend une > r�ponse sur un autre port, que je ne peux connaitre, non?
C'est bien pour �a qu'on ne le pr�cise pas! > > J'ai aussi ces lignes : > iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT > - L� je ne pige plus, et �a marche : j'aime pas. P. ex, en OUTPUT > j'accepte ce qui se dirige vers le port 110 (mon serveur pop est > pop.free.fr) : ok. Mais la r�gle INPUT? Pour pop, j'ai pas 110 comme > -sport, non? Je devrais avoir un port al�atoire g�n�r� pour la r�ponse! reprenons ce deux r�gles aux calmes: La premi�re l'entr�e de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces r�gle sont a mon avis inutiles et dangereuse, 1) de toutes fa�on tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant � l'�tat des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. > > Ou alors, j'ai rat� un bout du film? > > Merci pour tout �claircissement > Rosaire > > > Touch13 > > > > Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a �crit : > >>Sympa Touch13! > >>Mais je ne sais pas si t'as pig� que j'�tais en train d'apprendre? > >>Alors, ton script est bien ficel� apparement, mais pas trop > >>p�dagogique-d�butant. Du reste, je viens de me rendre compte que j'ai > >>envoy� ma demande d'info chez les confirmes. Je crois que je vais faire > >>un tour chez debutant. > >>Merci quand m�me!;-) > >>Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en v�ritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
