sleepewig a écrit : > > Si tu DROP par defaut en OUTPUT il faut ajouter des regles de sortie :
La règle de suivi de connexion en OUTPUT est déjà présente, pas besoin d'autre chose. > iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT Surtout pas, ça accepte n'importe quoi vers n'importe où du moment que c'est émis depuis le port 22 ! (d'accord pour utiliser ce port source il faut être root et si on est root on peut changer les règles, mais c'est pas une raison) > # et ajouter pour les requete dns > iptables -A INPUT -i eth1 -p udp --sport 53 -j ACCEPT > iptables -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT Surtout pas : jamais de règles basées uniquement sur le port source pour accepter les réponses, ce n'est pas fiable. Utiliser plutôt le suivi de connexion. > Si tu veux autorise que le ping : > > iptables -A INPUT -i eth1 -p icmp --icmp-type echo-reply -j ACCEPT Ça ce serait pour le ping en sortie (réponse entrante), ce qui n'est pas demandé. Inutile dans le cas contraire car la règle de suivi de connexion s'en occupe déjà. > iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT Oui. > iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT Inutile, la règle de suivi de connexion s'en occupe déjà. > iptables -A OUTPUT -o eth1 -p icmp --icmp-type echo-request -j ACCEPT Ça ce serait pour le ping en sortie, ce qui n'est pas demandé. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4c0528a2.7090...@plouf.fr.eu.org
