Jean-Marc a écrit : > > Pour ne pas exposer les services qui tournent sur mon cubie au reste de la > planète, par exemple.
D'accord. >>> mes interfaces comportait aussi de l'IPv6, > > Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale. Donc si certains services écoutent en IPv6, le filtrage IPv6 est souhaitable, et pas seulement sur l'interface tun. A vérifier avec netstat. Autre possibilité que je me dois de mentionner à contrecoeur : si le bidule n'a pas besoin d'IPv6, le désactiver. >>> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT >> >> Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface >> suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul >> doute qu'il prendra une adresse qui va bien dans la plage. > > OK, donc accepter le trafic entrant sur eth0. Après réflexion, je me dois de revenir sur ce point de ma réponse précédente. Il est légitime de se prémunir contre des connexions qui pourraient provenir de l'extérieur et relayées par la box internet sur le LAN, à la faveur d'une erreur de configuration par exemple.
