Le Dimanche 08 Juin 2003 00:01, AMORE Rosaire a écrit : > Touch13 a écrit : > > D'ou les lignes de commentaires ;-) > > Il n'avait semblé que grace à elles on pouvait s'en sortir. Je le > > saurais pour > > > la prochaine fois. Ceci dit, dis moi celles qui te semble obscures et > > je te > > > donnerais plus d'explication. > > T'en fait pas. En fait ce qui m'a troublé un peu au départ, c'est ton > utilisation des variables. Après l'avoir relu au calme, ça a été mieux. > Alors, j'en suis où? Et bien ça marche : > - J'arrive à faire un ssh sur ma passerelle, depuis le lan comme de > l'extérieur. > - De ma passerelle et de mon lan, je surf, je peux envoyer et récupérer > mon courrier, et ma résolution de noms fonctionne bien > - de mon lan, j'accède à mon serveur samba (situé sur la passerelle). > > Mais il me reste des coins d'ombre, sur ce qu'on précise en INPUT/OUTPUT > avec -dport et -sport. Par exemple, j'ai les lignes suivantes : > iptables -A INPUT -i eth0 --protocol tcp --destination-port 137:139 -j > ACCEPT > iptables -A OUTPUT -o eth0 --protocol tcp --source-port 137:139 -j ACCEPT > - Ca, je pige : ce qui arrive sur mon interface interne (eth0) peut > accéder aux services locaux -dport 137:139 en INPUT > - idem, à l'inverse en OUTPUT avec comme port source 137:139. Je ne vais > pas indiquer ici -dport, puisque j'imagine que le client smb attend une > réponse sur un autre port, que je ne peux connaitre, non?
C'est bien pour ça qu'on ne le précise pas! > > J'ai aussi ces lignes : > iptables -A INPUT -i ppp0 --protocol tcp --source-port 110 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT > - Là je ne pige plus, et ça marche : j'aime pas. P. ex, en OUTPUT > j'accepte ce qui se dirige vers le port 110 (mon serveur pop est > pop.free.fr) : ok. Mais la règle INPUT? Pour pop, j'ai pas 110 comme > -sport, non? Je devrais avoir un port aléatoire généré pour la réponse! reprenons ce deux règles aux calmes: La première l'entrée de toutes les trames venant d'un serveur pop (port source 110). La seconde autorise la sortie de toutes les trames qui vont vers un serveur pop (port destination 100). Dans un cas tu autorise ce qui _entre_ _depuis_... dans l'autre ce qui _sort_ _vers_... Mais ces règle sont a mon avis inutiles et dangereuse, 1) de toutes façon tu autorise des pacquets autrement, 2) vaux mieux autoriser le retour des connexions en se fiant à l'état des connexions. Sinon je peux t'attaquer en me faisant passer pour un serveur pop, je pars du port 110 vers un port quelconque chez toi, et le firewall accepte le pacquets. > > Ou alors, j'ai raté un bout du film? > > Merci pour tout éclaircissement > Rosaire > > > Touch13 > > > > Le Vendredi 6 Juin 2003 19:35, AMORE Rosaire a écrit : > >>Sympa Touch13! > >>Mais je ne sais pas si t'as pigé que j'étais en train d'apprendre? > >>Alors, ton script est bien ficelé apparement, mais pas trop > >>pédagogique-débutant. Du reste, je viens de me rendre compte que j'ai > >>envoyé ma demande d'info chez les confirmes. Je crois que je vais faire > >>un tour chez debutant. > >>Merci quand même!;-) > >>Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
