Paulo.debian wrote:
Bonjour,
Je suis entrain d'apprendre iptables et je me pose une question. Lorsque
l'on fait un firewall, est il n�cessaire de configurer la cha�ne OUTPUT
pour n'accepter que les paquets � destination des ports que l'on
souhaite autoriser comme on le ferait pour la cha�ne INPUT ou est-ce que
l'on peut autoriser tous ce qui sort. Je vais essayer d'�tre plus clair
avec un exemple:
#On accepte tout ce qui sort
iptables -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j
ACCEPT
#Ou bien pour chaque r�gle INPUT du type
iptables -A INPUT -i ppp0 -p tcp --sport www -m state --state
ESTABLISHED,RELATED -j ACCEPT
#On ajoute une r�gle OUTPUT du type
iptables -A OUTPUT -o ppp0 -p tcp --dport www -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
Merci.
Bonsoir,
D�j�, pas la peine de mettre "-m state --state ...." si tu autorises
NEW, ESTABLISHED, et RELATED (un "iptables -A OUTPUT -m state --state
INVALID -j DROP" en d�but suffira, et all�gera l'�criture des autres
r�gles).
Ensuite pour ton probl�me, tu peux faire :
iptables -A INPUT -i ppp0 -p tcp --sport www -m state --state
ESTABLISHED,RELATED -j ACCEPT
et
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
La machine est tout de m�me prot�g�e.
Il faut � ce moment l� �tre s�r que personne va venir sur la machine
pour y faire joujou et se connecter "l� o� il ne faut pas".
Pour ma part, sur mes firewalls, je fais un contr�le sur le INPUT et sur
le OUTPUT, en partant du principe que 2 protections valent mieux qu'une.
Bonne soir�e.
Guillaume LEHMANN
