Iptables pour refuser les connexions ssh sortantes

Bonjour tout le monde
je voudrais interdire les tentatives d'acces ssh sortantes d'une machine linux qu'on administre et autoriser l'acces ssh entrant
Sachant que la chaine output etait vide j'ai executé les commandes suivantes:

Code:

---

1 2 3

iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP service iptables save chkconfig iptables on

---

Quand j'essai la commande scp sortante (exp scp /home/wiwi user@x.x.x.x:/home/user) ou des tentatives ssh x.x.x.x, tout fonctionne comme si je n'ai rien chagé
Avez vous une idée?
Merci

essaies cela...

Code:

---

iptables -A OUTPUT -o eth1 -p tcp --sport 22 -j DROP

---

Citation:

---

essaies cela...

Code:

iptables -A OUTPUT -o eth1-p tcp --sport 22 -j DROP

---

je l'ai essayé mais ca donne le meme resultat, je peux toujours me connecter ssh

ce ne serait pas --dport ???

Citation:

---

ce ne serait pas --dport ??

---

?

je ne pense pas, dport c'est pour les chaines INPUT

Citation:

---

Envoyé par NeilaK

?

je ne pense pas, dport c'est pour les chaines INPUT

---

:oops:

au fait, il y a aussi la possibilité de faire

Code:

---

chmod o-rx /usr/bin/ssh

---

Citation:

---

je ne pense pas, dport c'est pour les chaines INPUT

---

Non non, je suis d'accord avec gorgonite. Quand tu inities une connexion SSH depuis ta machine, ton client SSH contacte le port 22 de la machine distante, qui est écouté par un serveur de connexions SSH. Ta machine, elle, n'utilise pas le port 22.

Code:

---

1 2 3

iptables -t filter -A OUTPUT -p tcp --sport 22 -o eth1 -j DROP service iptables save chkconfig iptables on

---

Question bête mais as-tu fais un

Code:

---

service iptables restart

---

Bonjour tout le monde

Citation:

---

ce ne serait pas --dport ???

---

c'est tout a fait juste, c'est moi qui était induite en erreur:oops:

Citation:

---

Non non, je suis d'accord avec gorgonite. Quand tu inities une connexion SSH depuis ta machine, ton client SSH contacte le port 22 de la machine distante, qui est écouté par un serveur de connexions SSH. Ta machine, elle, n'utilise pas le port 22

---

. C'est tout à fait la bonne explication Rinhéauféros, par contre, je ne vois pas ds quel cas utiliser sport (en géneral) c'est toujours une cnx vers mon serveur ssh en input et une connexion vers 1 serveur distant en output

Citation:

---

Question bête mais as-tu fais un
Code:
service iptables restart

---

je l'ai fait gnto merci, le probleme etait avec sport et dport

ben je ne suis pas si rouillé que cela... :yaisse2:
faut dire que je triche un peu, car en ce moment, j'écris un tutoriel sur les passerelles, et donc avec quelques commandes iptables ;)

:resolu: alors ?

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

Citation:

---

Envoyé par NeilaK

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

---

http://man.developpez.com/man8/iptables.8.php

Citation:

---

bien j'y mettrai résolu mais je voudrais bien comprendre dans quel cas utiliser "sport"

---

ben par exemple pour autoriser les réponses du serveur SSH, si tu n'actives pas le suivi de connexions...

autre exemple, dans mon script j'ai une ligne comme ça :

Code:

---

1 2 3 4

# Requêtes de broadcast DHCP entrantes (on reçoit forcément le broadcast qu' on envoie + celui des autres) : iptables -A INPUT -i eth0 -d 255.255.255.255 -p udp --sport 68 --dport 6 7 -j DROP

---

qui me sert à ne pas journaliser les requêtes de broadcast.;)