Oui, ça se rapproche plus de ce que je fais, je ferme tout et je n'ouvre que ce qui m'intéresse, sauf que je n'ai pas crée de chaine.
Sauf qu'a priori, je n'avais pas assez ouvert pour le problème qui me concernait. ----- Original Message ----- From: ""François" TOURDE" <[EMAIL PROTECTED]> To: <debian-user-french@lists.debian.org> Sent: Thursday, May 15, 2003 2:19 PM Subject: Re: Fw: FORWARD FTP un peu bancal > Le 12186ième jour après Epoch, > François Boisson écrivait: > > > Je pense que tu t'y prends mal, commence par faire les règles minimales de > > transfert:(sortie supposée sur ppp0) > > > > > > # iptables -t nat -F > > # iptables -F INPUT > > # iptables -F OUTPUT > > # iptables -F FORWARD > > # iptables -P INPUT ACCEPT > > # iptables -P OUTPUT ACCEPT > > # iptables -P FORWARD ACCEPT > > Mettre la valeur par défaut à accept me semble un peu dangereux... Je suis parti > du principe de tout dropper par défaut, et puis j'ouvre au fur et à mesure des > besoins. > > Ensuite, j'ai créé une chaine nommée CONNECTED, de la façon suivante: > > $ipt -N CONNECTED > $ipt -A CONNECTED -m state --state NEW -o ppp0 -j ACCEPT > $ipt -A CONNECTED -m state --state NEW -o eth0 -j ACCEPT > $ipt -A CONNECTED -m state --state ESTABLISHED,RELATED -j ACCEPT > > Qui accepte donc tout ce qui sort de la machine par ppp0 ou eth0 (Le net et mon > brin réseau interne), ou qui est relatif à ça... > > Puis trois règles du genre: > > $ipt -A INPUT -j CONNECTED > $ipt -A OUTPUT -j CONNECTED > $ipt -A FORWARD -j CONNECTED > > Qui n'acceptent que ce qui matche le status CONNECTED > > et enfin une règle de mascarade: > > $ipt -t nat -A POSTROUTING -s xxx.yyy.zzz.0/24 -o ppp0 -j MASQUERADE > > où xxx.yyy.zzz.0 est mon réseau local classe C. > > > # echo "1" > /proc/sys/net/ipv4/ip_forward > > Oui, bien sûr, ou alors dans le fichier de config /etc/network/options > ip_forward=yes > > > -- > Lisez la FAQ: http://savannah.nongnu.org/download/debfr-faq/html/ > -- > François TOURDE - tourde.org - 23 rue Bernard GANTE - 93250 VILLEMOMBLE > Tél: 01 49 35 96 69 - Mob: 06 81 01 81 80 > eMail: mailto:[EMAIL PROTECTED] - URL: http://francois.tourde.org/ > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] >
