Le 13836ième jour après Epoch, Jean-Michel OLTRA écrivait: > Le lundi 19 novembre 2007, Sylvain a écrit... > >> Sortir, oui, a priori : >> iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT >> >> Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de >> mon script iptables : >> iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >> iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >> > Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les > paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre > elles se situe en premier dans la série de règles.
Non, non, il n'y a pas d'incohérence. La première chaîne dit (pas assez explicitement) que le port 123 en sortie est autorisé pour les chaines new, la seconde dit "tout ce qui a déjà été established pour tous les ports peut sortir"
