Discussion :

[rudy17]

Bonjour à tout le monde.
Quand je configure le parefeu Iptables, j'applique la politique par défaut en DROP partout, puis j'autorise au compte gouttes les flux en PREROUTING puis en INPUT.
J'autorise ensuite également la sortie depuis mon pc vers les clients pour POSTROUTING et OUTPUT.
Dans ces conditions :
- on conserve PARTOUT la politique par défaut à DROP
- on autorise quelques flux à pénétrer la machine sur PREROUTING et INPUT

faut-il absolument écrire de façon explicite les règles de sortie en POSTROUTING et OUPTUT ou le noyau les déduit lui-même ?
Je ne parle pas ici de règles qui match sur l'état de connexion ( -m state ). Je veux savoir si les règles Iptables peuvent fonctionner en FullState ....
Merci

[gnto]

Bonjour à tout le monde.
Quand je configure le parefeu Iptables, j'applique la politique par défaut en DROP partout, puis j'autorise au compte gouttes les flux en PREROUTING puis en INPUT.
J'autorise ensuite également la sortie depuis mon pc vers les clients pour POSTROUTING et OUTPUT.
Dans ces conditions :
- on conserve PARTOUT la politique par défaut à DROP
- on autorise quelques flux à pénétrer la machine sur PREROUTING et INPUT

faut-il absolument écrire de façon explicite les règles de sortie en POSTROUTING et OUPTUT ou le noyau les déduit lui-même ?
Je ne parle pas ici de règles qui match sur l'état de connexion ( -m state ). Je veux savoir si les règles Iptables peuvent fonctionner en FullState ....
Merci

tu laisse pénétrer quelques flux et tu drop le reste. Iptables drop par defaut PREROUTING, INPUT, POSTROUTING et OUPTUT. cmt pourrait-il savoir de lui meme les règles de sortie ???

[rudy17]

Salut gnto
C'est ce que je pensais mais pourquoi ne pourrait-il pas deviner les règles de sortie (celles qui ne seront pas dropées) de règles en INPUT
Autrement :
iptables -A INPUT "règles" -commutateur -J ACCEPT
ici le commutateur indiquerait au noyau de deviner de cette règle qu'il doit être full-state et laisser passer en OUTPUT
Cordialement

[gnto]

Salut gnto
Pourquoi ne pourrait-il pas deviner les règles de sortie (celles qui ne seront pas dropées) de règles en INPUT

Parce qu' Iptables ne le fait pas de ce que je m'en souviens.

[rudy17]

Merci,
Solution : suivi d'état de connexion.
iptables -A OUTPUT -m state ESTABLISHED, RELATED -j ACCEPT
Cordialement