Tahar BEN ACHOUR a écrit : > > Alors voilà, mes deux cartes réseaux eth1 et eth2, eth2 étant > l'interface publique qui va recevoir les requêtes DNS et ping et eth0 > l'accès ssh > > #Politique par défaut deny all > > iptables -A INPUT -P DROP > iptabels -A OUTPUT -P DROP > iptables -A FORWARD -P DROP > > #Authorisation de SSH > > iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #pour éviter > les coupures
Qué coupures ? Cette règle, ainsi que la suivante, dites de "suivi de connexion", servent à ne pas se préoccuper de la suite de la connexion une fois le premier paquet accepté. > iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT > > #authorisation du ping Pas de "h" en français. > iptables -A INPUT -i eth1 -p icmp -j ACCEPT Trop laxiste, ça accepte tous les ICMP et pas seulement le ping (ICMP echo). Cf. la réponse de sleepewig. > iptables -A OUTPUT -i eth1 -p icmp -j ACCEPT Inutile, la règle de suivi de connexion s'en occupe déjà. > #authorisation des requêtes DNS > > iptables -A INPUT -i eth1-p udp --dport 53 -j ACCEPT Accepter aussi en TCP, cf. la réponse de Stéphane. > iptables -A OUTPUT -i eth1 -p udp --dport 53 -j ACCEPT Cette règle accepte les requêtes DHCP sortantes, ce n'est pas ce qui été décrit plus haut. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c05268c.50...@plouf.fr.eu.org
