Discussion :

[RogerBower]

Bonjour,

j'utilise Iptables actuellement en l'utilisant par défaut sur les chaînes INPUT FORWARD OUTPUT de la table FILTER pour mes règles de filtrage des paquets.

Je souhaiterai créer une nouvelle chaîne appelée "DROPonPORTS", qui se verra accueillir la liste des ports bloqués mais que en OUTPUT (donc ne concernant que les paquets en direction de ma machine vers l'extérieur) que je souhaite y insérer.


Je prévois donc d'y créer des règles pour la chaîne habituelle OUTPUT de la table FILTER. Mais pour un soucis de lisibilité, j'aimerai ne pas mettre ces nouvelle srègles directement sur la chaîne par défaut OUTPUT, mais par contre je souhaiterai que touts les paquets qui sortent de ma macine soient filtrés par ma nouvelle chaîne DROPonPORTS "comme si toutes les règles de DROPonPORTS soient en fait insérer directement dans la chaîne par défaut OUPTUT".

Pourriez-vous m'aider avec les commandes qui peuvent mettre cela en place sur Iptables svp ? Je ne sais faire aucune des manipulations que je décris au dessus, jusqu'à la commande de la crétion de ma nouvelle chaîne DROPonPORTS, merci beaucoup de votre aide...

[RogerBower]

Bonjour,

un petit coup de main de ce côté-ci svp ?

Merci beaucoup

[BufferBob]

salut,

- basiquement on crée une chaine avec l'option -N, donc iptables -N MACHAINE
- on défini des règles spécifiques pour cette chaine comme pour n'importe quelle cible donc iptables -A MACHAINE ...
- on envoit des paquets vers la chaine concernée simplement avec le switch -j, iptables -A INPUT ... -j MACHAINE

ceci dit, est-ce bien utile de créer une chaine spécifique uniquement pour bloquer des ports en sortie ?
une simple règle ne suffit pas ? du style iptables -A OUTPUT -p tcp -m multiport --dport 21,22,25,80,110,443 -j ACCEPT (avec une policy output drop par défaut donc)

[RogerBower]

Bonjour Bufferbob,

et merci pour les explications, j'ai tout compris.

ceci dit, est-ce bien utile de créer une chaine spécifique uniquement pour bloquer des ports en sortie ?
une simple règle ne suffit pas ? du style iptables -A OUTPUT -p tcp -m multiport --dport 21,22,25,80,110,443 -j ACCEPT (avec une policy output drop par défaut donc)

Merci aussi pour cette troisième partie qui contient une ligne d'exemples de règles Iptables, je n'avais pas pensé à cette configurations de règles sur une seule ligne Iptables, ça m'ouvre une voie. J'ai l'impression d'avoir un peu progressé aujourd'hui, merci beaucoup, à +