#Prepare iptables pour l'utilisation des log
iptables -N LOGDROP
iptables -A LOGDROP -j LOG --log-prefix '[IPTABLES LOG DROP] : ' --log-level warning
iptables -A LOGDROP -j DROP
iptables -N LOGACCEPT
iptables -A LOGACCEPT -j LOG --log-prefix '[IPTABLES LOG ACCEPT] : ' --log-level warning
iptables -A LOGACCEPT -j ACCEPT
#On drop tout par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Utilisation du stateful
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Tout d'abord on autorise le traffic sur la boucle local
iptables -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#on accept tout le trafic interne du lan
iptables -A OUTPUT -o eth1 -s 192.168.2.0/26 -d 192.168.2.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -s 192.168.2.0/26 -d 192.168.2.0/24 -j ACCEPT
#Icmp
iptables -A OUTPUT -p icmp -d 0/0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p icmp -d 0/0 -m state --state NEW -j ACCEPT
#Site web
iptables -A FORWARD -p tcp -d 0/0 --dport 80 -m state --state NEW -j ACCEPT
#On autorise les connections ssh depuis l'exterieur pour le FW
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
# On autorise la resolution de noms
#FW
iptables -A OUTPUT -p tcp -d 0/0 --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp -d 0/0 --dport 53 -m state --state NEW -j ACCEPT
#LAN
iptables -A FORWARD -p tcp -d 0/0 --dport 53 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -d 0/0 --dport 53 -m state --state NEW -j ACCEPT
# On cache le LAN derriere l'adresse IP public du serveur
# Sinon les machines communiqueraient vers l'exterieur avec
# leur adresse privee
Bonjour,
Ça donne quoi en remplaçant
iptables -A OUTPUT -p icmp -d 0/0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p icmp -d 0/0 -m state --state NEW -j ACCEPT
par :
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
Il me semble que --state NEW ne soit pas adapté au protocole icmp d'après ce que j'ai lu c'est pour accepter une connexion en tcp, en icmp y a pas de connexion on envoie un packet qui peut très bien n'avoir jamais de réponse ça sert à faire des diagnostiques pas à créer des connexions, enfin testez sans et dites ce que ça donne
Trouvez des réponses à vos questions sur les distributions, les commandes en ligne et la résolution de problèmes. Partagez vos connaissances et connectez-vous avec la communauté open source pour maîtriser ces systèmes d'exploitation.