Iptable regles
ohector
Messages postés
89
Date d'inscription
Statut
Membre
Dernière intervention
-
kaiser35 Messages postés 18 Date d'inscription Statut Membre Dernière intervention -
kaiser35 Messages postés 18 Date d'inscription Statut Membre Dernière intervention -
hello tout le monde
voila mon probleme avec iptable (mdk 10.1)
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
avec cette chaine j'autorise les entrees sur le port 80 ( web), mais je veux egalement autoriser uniquement le port 80 en sortie!
-A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
Mais cette chaine OUTPUT me bloque tous les acces au web( surf)
alors voila pourquoi ca ????
merci pour vos reponses
olivier
voila mon probleme avec iptable (mdk 10.1)
-A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
avec cette chaine j'autorise les entrees sur le port 80 ( web), mais je veux egalement autoriser uniquement le port 80 en sortie!
-A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
Mais cette chaine OUTPUT me bloque tous les acces au web( surf)
alors voila pourquoi ca ????
merci pour vos reponses
olivier
A voir également:
- Iptable regles
- Regles telephone - Guide
- Mon calendrier des règles - Télécharger - Santé & Bien-être
- Instagram votre compte ne respecte pas les règles de la communauté - Guide
- Tableau règles de ponctuation - Guide
- Règles excel - Guide
2 réponses
1ere chose: il faut mettre --dport 80 (au lieu de --sport 80) aussi pour OUTPUT (ne me demande pas pourquoi, c'est comme ca)
2eme chose: il faut aussi ouvrir le port 53 aussi avec --dport pour les requetes DNS, sinon tu ne peux mettre que de numeros IP dans le navigateur et pas de noms internets.
il est aussi possible qu'il faut ouvrir d'autre ports comme ftp (20, 21) ou ssh (22) si le browser utilise implicitement ces protocoles (mais je ne suis pas sur pour ca).
Pour mieux tester je te conseille de mettre deux lignes comme
pour ouvrir et logger toutes les ports. Apres tu faits dans une fenetre terminal (en root) la commande:
pour afficher en temps reel toutes les nouvelles entrees de /var/log/messages et en parallel tu lances ton navigateur et tu effectues quelques tests de surfs. Ca t'affiche tous les trucs sortant grace a la ligne avec LOG. La tu verras des machins comme "DPT=80" pour le port destination de http et aussi (plus rarement) "DPT=53" pour les requetes DNS.
Fais aussi quelques telechargements et acces a de pages cryptes avec le navigateur et regarde bien les ports utilise. S'il y en a d'autre il faut les ouvrir aussi (sauf si on veut interdire par exemple les telechargements ftp par le browser).
Apres tu peux revenir a la config ou tu n'ouvres que les ports absoluments necessaire.
En fait pour filtrer en Linux l'OUTPUT il faut etre un peu paranoiaque, normalement c'est pour controler les spy-wares sur les pcs windows mais bien si on veut le faire. De toute facon ca ne semble pas aussi facile qu'on le pense.
2eme chose: il faut aussi ouvrir le port 53 aussi avec --dport pour les requetes DNS, sinon tu ne peux mettre que de numeros IP dans le navigateur et pas de noms internets.
il est aussi possible qu'il faut ouvrir d'autre ports comme ftp (20, 21) ou ssh (22) si le browser utilise implicitement ces protocoles (mais je ne suis pas sur pour ca).
Pour mieux tester je te conseille de mettre deux lignes comme
iptables -A OUTPUT -o eth0 -j LOG --log-level info iptables -A OUTPUT -o eth0 -j ACCEPT
pour ouvrir et logger toutes les ports. Apres tu faits dans une fenetre terminal (en root) la commande:
tail -f /var/log/messages
pour afficher en temps reel toutes les nouvelles entrees de /var/log/messages et en parallel tu lances ton navigateur et tu effectues quelques tests de surfs. Ca t'affiche tous les trucs sortant grace a la ligne avec LOG. La tu verras des machins comme "DPT=80" pour le port destination de http et aussi (plus rarement) "DPT=53" pour les requetes DNS.
Fais aussi quelques telechargements et acces a de pages cryptes avec le navigateur et regarde bien les ports utilise. S'il y en a d'autre il faut les ouvrir aussi (sauf si on veut interdire par exemple les telechargements ftp par le browser).
Apres tu peux revenir a la config ou tu n'ouvres que les ports absoluments necessaire.
En fait pour filtrer en Linux l'OUTPUT il faut etre un peu paranoiaque, normalement c'est pour controler les spy-wares sur les pcs windows mais bien si on veut le faire. De toute facon ca ne semble pas aussi facile qu'on le pense.
