Bonjour
Le Dimanche 8 Juin 2014 00:59 CEST, Philippe Gras <[email protected]> a écrit: > Le 8 juin 14 à 00:29, Christophe a écrit : > > > Bonjour, > > > > Le 07/06/2014 23:21, nb a écrit : > >> > >> Le Samedi 7 Juin 2014 23:12 CEST, Philippe Gras > >> <[email protected]> a écrit: > >> > >>>> INPUT ne sert pas pour une connexion déjà établie, seulement pour > >>>> l'établissement d'une connexion (paquet tcp syn) > > > > Pas tout à fait d'accord avec ça, mais rien à voir avec Debian, > comme tu > > l'as précédemment précisé ... > > (c'est du noyau linux dont il est question ici). > > [...] > J'ai l'impression que ça sert surtout en ligne de commande. Rectifiez- moi si > je me trompe ! > Parce que la subtilité m'échappe. Moi, j'ai un script avec des -P au > début pour définir toute > la police, et ensuite, je n'ai que des -A. Mais si ça se trouve, ça devrait > être des -N partout ? > > > >> > >> Concernant tes règles "ESTABLISHED" il serait judicieux de les > >> taper en interactif. Elles n'ont pas trop leur place dans un > >> script après les règles INPUT. > > > > La, il va falloir que tu éclaires quelques lanternes ... ;) > > Oui, pourquoi ? Ce que je voulais dire, c'est que quand un script est appliqué avec les règles de DROP sur INPUT au début, il n'est pas nécessaire de faire en plus à la fin du script un DROP sur des connexions établies de même type. Puisque par définition, elles ne peuvent pas l'être car interdites. Dans le cas qui nous occupe ici, la connexion a été établie de manière antérieure au script. Du coup malgré les INPUT, la connexion restait présente. Le DROP sur ESTABLISHED devenait indispensable. Mais uniquement de manière ponctuelle. C'est pourquoi je disais qu'il fallait le faire en intéractif. Je pards bien sur du fait qu'un script a pour vocation à être re-joué plusieurs fois. L'incompréhension vient peut-être de là. J'opposais intéractif à script. Par ailleurs, même en intéractif après un '-A' ou '-I' pour la règle d'INPUT, il faut faire ensuite un '-D'. Car il n'est pas nécessaire de conserver des règles devenues inutiles. Bon dimanche -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers [email protected] En cas de soucis, contactez EN ANGLAIS [email protected] Archive: https://lists.debian.org/7fd3-53940d00-7-656c5100@207004352
