Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a �crit :..........
Touch13 a �crit :
C'est bien pour �a qu'on ne le pr�cise pas!Mais il me reste des coins d'ombre, sur ce qu'on pr�cise en INPUT/OUTPUT avec -dport et -sport. Par exemple, j'ai les lignes suivantes : iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j ACCEPT iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut acc�der aux services locaux -dport 137:139 en INPUT - idem, � l'inverse en OUTPUT avec comme port source 137:139. Je ne vais pas indiquer ici -dport, puisque j'imagine que le client smb attend une r�ponse sur un autre port, que je ne peux connaitre, non?
Donc j'avions bien pig� (?)
J'ai aussi ces lignes : iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT - L� je ne pige plus, et �a marche : j'aime pas. P. ex, en OUTPUT j'accepte ce qui se dirige vers le port 110 (mon serveur pop est pop.free.fr) : ok. Mais la r�gle INPUT? Pour pop, j'ai pas 110 comme -sport, non? Je devrais avoir un port al�atoire g�n�r� pour la r�ponse!
reprenons ce deux r�gles aux calmes:
La premi�re l'entr�e de toutes les trames venant d'un serveur pop (port source 110).
La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100).
Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_...
Mais ces r�gle sont a mon avis inutiles et dangereuse, 1) de toutes fa�on tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant � l'�tat des connexions.
Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets.
Je devrais donc reprendre ma cha�ne INPUT comme ceci :
iptables -A INPUT -i ppp0 --protocol tcp --destination-port 110 -m state --state ESTABLISHED, RELATED -j ACCEPT
l'�tat RELATED �tant ici superflu, isn't it?
Quant � ma chaine OUTPUT je peux la laisser en l'�tat
Une confirmation?
Ou alors, j'ai rat� un bout du film?
Merci pour tout �claircissement Rosaire
Touch13
Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a �crit :
Sympa Touch13! Mais je ne sais pas si t'as pig� que j'�tais en train d'apprendre? Alors, ton script est bien ficel� apparement, mais pas trop p�dagogique-d�butant. Du reste, je viens de me rendre compte que j'ai envoy� ma demande d'info chez les confirmes. Je crois que je vais faire un tour chez debutant. Merci quand m�me!;-) Rosaire
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
