Alors voila, j ai un fichier iptables avec  
INPUT = DROP
FORWARD = DROP  
et  
output = ACCEPT
 
 
COMMENT FAIRE pour mettre output en drop et que mes stations de travails puissent allees sur internet(uniquement les sites web (80 et 443))
voici mon script au cas ou
 
 
# Generated by iptables-save v1.2.2 on Sat Jan 26 16:02:22 2002
*nat
REROUTING ACCEPT [42:4177]
OSTROUTING ACCEPT [80:6965]
UTPUT ACCEPT [83:7557]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j MASQUERADE  
COMMIT
# Completed on Sat Jan 26 16:02:22 2002
# Generated by iptables-save v1.2.2 on Sat Jan 26 16:02:22 2002
*mangle
REROUTING ACCEPT [1179:478951]
UTPUT ACCEPT [1173:104477]
COMMIT
# Completed on Sat Jan 26 16:02:22 2002
# Generated by iptables-save v1.2.2 on Sat Jan 26 16:02:22 2002
*filter
:INPUT DROP [854:419769]
:FORWARD DROP [0:0]
UTPUT ACCEPT [1173:104477]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT  
-A INPUT -i eth1 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT  
-A INPUT -i eth1 -p udp -m udp --sport 67 --dport 68 -j ACCEPT  
-A INPUT -i eth1 -p tcp -m tcp --sport 67 --dport 68 -j ACCEPT  
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 20 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state new -m tcp --sport 1024:65535 --dport 80 -j ACCEPT
-A INPUT -p tcp -m state --state new -m tcp --sport 1024:65535 --dport 443 -j ACCEPT
-A INPUT -p udp -m state --state NEW -m udp --sport 1024:65535 --dport 27015 -j ACCEPT
-A INPUT -p tcp -m state --state new -m tcp --sport 1024:65535 --dport 10000 -j ACCEPT
 
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.0.0/255.255.255.0 -m state --state NEW -j ACCEPT  
COMMIT
# Completed on Sat Jan 26 16:02:22 2002
 
merci a tout ce qui pouront m aider mais aussi aux autres
++
nikauch

c'est bien complique tout ca
 
moi je mettrais plutot:
 
#purger les regles
iptables -F
iptables -X
 
#tout interdire
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#autoriser le trafic sur le loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#activer le masquerading pour les clients
iptables -t nat -A POSTROUTING -o ppp0 -j ACCEPT
echo 1 >/proc/sys/net/ipv4
 
#autoriser seulement ports 80 et 443 en sortie
iptables -A FORWARD -s 192.168.0.0/24  -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 443 -j ACCEPT
 
Il manque surement 2/3 regles mais tu devrais pouvoir les ajouter
 
Ps: avec ca le serveur a pas le droit d'aller sur le net
 
edit: j'ai rajoute les -p tcp

[jfdsdjhfuetppo]--Message édité par apolon34 le 26-05-2002 à 15:04:02--[/jfdsdjhfuetppo]

 
c'est clair, c'est quoi son script de malade là !?    
 
sinon, c'est quoi le port 443 ?

le ports 443 c les ports https
@++

aurelboiss a écrit a écrit : le ports 443 c les ports https @++

 
ah ben je savais même pas que ça prenait un port différent (c'est logique mais j'avais pas fait gaffe), merci, je serais rester sur ce probleme longtemps je pense, quand j'aurais monté mon serveur web

deja merci d'avoir repondu MAIS :
il y a un probleme.
lorsque je fait
 

 
J ai une reponse BAD ARGUMENT !!!
Savez vous pourquoi  
Merci
++
nikauch

 
oui, avant d'utiliser la balise --dport il faut mettre -p tcp
 
si tu lui dis pas quel protocol utiliser sur le port, il saura pas le devinné

[jfdsdjhfuetppo]--Message édité par djoh le 26-05-2002 à 13:49:00--[/jfdsdjhfuetppo]

ok c cool
mais pe tu me dire comment faire pour avoir acces a mes partages SAMBA ????
car si j ai INPUT en drop, je pe pas y  acceder!!
merci

 
ben tu mets input en accept, tu drop tout ce qui vient d'internet (par exemple, si l'interface de ton modem est eth0, tu rajoute -i eth0 dans ta regle) et tu autorise tout ce qui vient de ton local
 
autre solution : tu mets input a accept, tu drop tout, et tu rajoute une regle, uniquement pour ton samba (cette regle est plus précise donc plus efficace, mais si tu as confiance en ton rezo local, t pas obliger de faire ça)

ouai mais le truk c est ke je ve laisser input en drop.
Il faut donc ke je rajoute une regle du style
iptables -a INTUP -s 192.168.0.0/24 -p tcp --dport "SMB" -j ACCEPT.
le truk c que ne connait le port utiliser pour les partages.
il doit y avoir des truks netbios ???ou quelque chose comme ca non??
 

nikauch a écrit a écrit : ouai mais le truk c est ke je ve laisser input en drop. Il faut donc ke je rajoute une regle du style iptables -a INTUP -s 192.168.0.0/24 -p tcp --dport "SMB" -j ACCEPT. le truk c que ne connait le port utiliser pour les partages. il doit y avoir des truks netbios ???ou quelque chose comme ca non??

 
c'est ce que je te dis de faire , sauf que tu peux pas laisser inpu a drop si tu veux accepter qq'chose : tu le mets a accept, tu drop tout, et tu rajoute ta regle spécifique a samba
 
mais je connais pas les ports non plus
pour ça, google devrait t'aider

autorises simplement le traffic sur ton reseau local:
 
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT