And Thus Spake Jerome SOUCANY <[EMAIL PROTECTED]> (on Wed, 17 Sep 2003 09:02:38 +0200):
Je pars ici du principe que c'est la machine qui va faire ces opérations qui doit être munie d'un pare-feu et qu'elle ne fait pas IP_MASQ pour d'autres machines dans un réseau local. Je pars aussi du principe que l'interface qui se connect au web est ppp0. On commence par tout vider : iptables -F iptables -X iptables -Z Ensuite on met les 2 chaines INPUT et OUTPUT à "bloqué" par défaut de façon à n'autoriser que ce qui suit : iptables -P INPUT DROP iptables -P OUTPUT DROP > J'aimerais pouvoir : > - surfer sur des site iptables -A INPUT -p tcp --sport 80 ! --syn -i ppp0 -j ACCEPT iptables -A INPUT -p tcp --sport 443 ! --syn -i ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 80 -o ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 443 -o ppp0 -j ACCEPT > - faire du FTP sortant iptables -A INPUT -p tcp --sport 20 ! --syn -i ppp0 -j ACCEPT iptables -A INPUT -p tcp --sport 21 ! --syn -i ppp0 -j ACCEPT iptables -A INPUT -p tcp --sport 1024:65535 ! --syn -i ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -o ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -o ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 1024:65535 -o ppp0 -J ACCEPT > - xmule/mldonkey > - irc > - icq Connais pas les ports utilisés ici. > - faire du ssh entrant a partir d'une IP connue iptables -A INPUT -p tcp -s <IP_CONNUE> --dport 22 -i ppp0 -j ACCEPT iptables -A OUTPUT -p tcp -d <IP_CONNUE> --sport 22 -o ppp0 -j ACCEPT Il faudra aussi que la machine puisse faire du DNS : iptables -A INPUT -p udp --sport 53 -i ppp0 -j ACCEPT iptables -A INPUT -p tcp --sport 53 ! --syn -i ppp0 -j ACCEPT iptables -A OUTOUT -p udp --dport 53 -o ppp0 -j ACCEPT iptables -A OUTPUT -p tcp --dport 53 -o ppp0 -J ACCEPT Enfin, il faut un minimum de trafic ICMP entrant pour connaître l'état des connexions sortants : iptables -A INPUT -i ppp0 -p icmp --icmp-type 0 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp --icmp-type 3 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp --icmp-type 4 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp --icmp-type 11 -j ACCEPT iptables -A INPUT -i ppp0 -p icmp --icmp-type 12 -j ACCEPT iptables -A OUTPUT -o ppp0 -p icmp -j ACCEPT -- G. Stewart -- [EMAIL PROTECTED] -- [EMAIL PROTECTED] Registered Linux user #284683 (Slackware 9.0) --------------------------------------------------------------- FAILURE IS NOT AN OPTION. It comes bundled with Microsoft software.
pgpWZxFGyialm.pgp
Description: PGP signature
