Lea Linux - Contributions [fr]

Discussion Trucs:Sauvegarder les ACL

2007-08-13T13:27:46Z

Panthere noire (phorum) : /* Sauvgarder les droits [ chmod ] */

== Sauvgarder les droits [ chmod ] ==

1.- Nous sauvegardons le droit du dossier /etc , pour ce faire on modifie la variable ScanRep :

ScanRep=(/etc)
2.- #Modifier ici le répertoire de sauvgarde (par défaut c'est sur le bureau de l'utilisateur en cours)
Filesave1="$HOME/Desktop${ScanRep["$i"]}.acl.sav1"
3.- sauvegarder le script
Ensuite su ou sudo sh nom_du_script
vous aurez donc votre fichier etc.acl.sav1 qui contiens donc les droit sauvegarder.
Maintenant, vous faites une mauvaise manoeuvre a savoir un su sudo chmod -R 0777 /etc.
Il vous suffira de récupérer grâce a la sauvegarde faite avant !
4.- En ligne de commande: su ou sudo setfacl --restore=/sauvgarde/etc.acl.sav1
Enfin pour la documentation. man setfacl et man getfacl

== Voici le code: ==

<code multi>
#!/bin/sh
#Tester le 11.08.2007 en root

#Les repertoire a scanner ( ou directement la racine / ) !
ScanRep=(/etc /usr /boot /lib /opt /sbin /root /srv /var /initrd /proc /selinux /home /bin /dev /sys /vmlinuz /initrd.img /tmp)

for TB in ${ScanRep[*]} ; do
#Modifier ici le répertoire de sauvgarde (par défaut c'est sur le bureau de l'utilisateur en cours)
Filesave1="$HOME/Desktop${ScanRep["$i"]}.acl.sav1"
FULLSAVE=${ScanRep["$i"]}
echo "Demarrage : " `date` " pour $FULLSAVE"
getfacl -R --absolute-names $FULLSAVE > $Filesave1
echo "Opération terrminée : " `date` " pour $FULLSAVE"
i=$(($i+1))
done
echo "ctrl+c pour sortire"
sleep 3600

#Pour la restauration
# setfacl --restore=$Filesave1

#====================FIN======================</code>

Discussion Trucs:Sauvegarder les ACL

2007-08-13T03:33:20Z

Panthere noire (phorum) : Sauvgarder les droits [ chmod ]

== Sauvgarder les droits [ chmod ] ==

Cette astuces permet de remédier à une erreur furture, d'un chmod -R 0777 a titre d'exemple.

== Voici le code: ==
#!/bin/sh
#Tester le 11.08.2007 en root

#Les repertoire a scanner ( ou directement la racine / ) !
ScanRep=(/etc /usr /boot /lib /opt /sbin /root /srv /var /initrd /proc /selinux /home /bin /dev /sys /vmlinuz /initrd.img /tmp)

for TB in ${ScanRep[*]} ;do
#Modifier ici le répertoire de sauvgarde (par défaut c'est sur le bureau de l'utilisateur en cours)
Filesave1="$HOME/Desktop${ScanRep["$i"]}.acl.sav1"
FULLSAVE=${ScanRep["$i"]}
echo "Demarrage : " `date` " pour $FULLSAVE"
getfacl -R --absolute-names $FULLSAVE > $Filesave1
echo "Opération terrminée : " `date` " pour $FULLSAVE"
i=$(($i+1))
done
echo "ctrl+c pour sortire"
sleep 3600

#Pour la restauration
# setfacl --restore=$Filesave1

#====================FIN======================

Discussion Trucs:Aide-mémoire sur la mémoire

2007-07-14T04:02:41Z

Panthere noire (phorum) :

Serait-il envisageable de fusionner cet article "trucs & astuces" avec ceux qu'ils pointe et d'en faire un article à part entière. Pour moi, l'explication et la gestion de la RAM+SWAP dépasse le stade d'un simple "truc & astuce".

[[Utilisateur:Fred (phorum)|Fred (phorum)]]> je suis tout à fait d'accord : il suffit de mettre un lien depuis chaque ex-T&A vers le nouvel article via : <nowiki>#redirect [[nouvel article]]</nowiki>

je me permet d'ajouter une information complémentaire:

fichier: /etc/sysctl.conf
mettre 0 pour pas de swap valable si vous avez plus de 1 go de ram et 100 pour swapper dès que possible
syntaxe:
vm.swappiness = 0

Catégorie:Trucs Shell

2007-07-04T13:32:53Z

Panthere noire (phorum) : Les touches ACII

[[Catégorie:Trucs]]
Les commandes du shell, leurs paramètres, les scripts...

== Trucs: Tester une réponse sans se soucier si la réponse est vide ==

Il arrive parfois qu'on fasse saisir une réponse
read rep

Puis, on veut tester si la réponse est "o"
if test $rep = o

Le pb, c'est que si l'utilisateur tape "return" sans saisir de réponse, la variable "rep" est vide... et le test devient bancal car il lit
if test = o
Erreur de syntaxe, l'option "=" veut absolument 2 opérandes

La solution: Encadrer la variable et la valeur par des guillemets
if test "$rep" = "o"

Même si "rep" est vide, le shell verra
if test "" = "o"
Et là, il aura bien ses deux opérandes à comparer l'un par rapport à l'autre.

== Supprimer avec rm avec un filtre par utilisateur ==

Supprimer avec rm avec un filtre par utilisateur

il y a 2 méthode , la première étant la moins propre. Mai plus rapide.

#!/bin/sh
# la première
#find "$p" -user "tnt" -print0 | xargs -0 /bin/rm -f 2>/dev/null && find "$p" -user "tnt" -print0 | xargs -0 /bin/rmdir -p 2>/dev/null

# la deuxième
#find "$1" -user "$2" -exec /bin/rm -vf '{}' \; 2>/dev/null && find "$1" -user "$2" -exec /bin/rmdir -p '{}' \; 2>/dev/null

Ceci évite de supprimer des fichier qui appartiennes a un autres utilisateur par exemple root, ou un fichier qui aurai les droits 0777 d'un autres utilisateur.

Simple et plus sure que de faire un rm -r ./*

== Les touches ACII ==

il est possible d'obtenir un caractère en le tapant aux format <ACII >

ASTUCE N° 1
par exemple dans votre éditeur de texte tape CTRL+SHIFT (rester appuyer) 060 (relâcher)
simple et efficace si on un caractère qui manque et qui n'est pas reconnu.

ASTUCE N° 2

Comment on fait pour trouver le numéro de caractère ? ouvrer votre programme: "table de caractère" (gnome en console taper gucharmap) il faut avec gnome ou un autre outil du même genre.

Cliquer sure un caractère puis regarder en bas c'est maquer :)

c'est valable sous windows aussi mai avec ALT , évidament sa peux varier suivant votre clavier le plus dure est de trouver la combinaison des 2 touche ici ALT+CTRL

Discussion catégorie:Trucs Administration

2007-05-20T03:19:58Z

Panthere noire (phorum) : /* configuration apache pour forcer le login a un site. */

== configuration apache pour forcer le login a un site. ==

Bonjours.

Pour configurer apache2 pour un site qui ne demande pas de mots de passe. c'est a dire que son contenu est accessible depuis l'extérieur et a tous!
par exemple munin.
il suffit d'éditer le fichier dans /etc/apache2/httpd.conf de recopier une section
aux complet:
La ligne qui contiens : <Directory "url"> doit être modifier sur le site qui est dans
/var/www/votresite
Ensuite la ligne AuthUserFile contien l'adress du fichier d'identification qui sera crée avec htpasswd
Par exemple "/var/www/votresite/.htpasswd"

relancer apache2

ensuite il vous faut crée un fichier .htpasswd
En console en root placer vous dans le répertoire
cd /var/www/votresite
ensuite taper: htpasswd -c ./.htpasswd votreuser

Discussion catégorie:Trucs Administration

2007-05-20T03:19:14Z

Panthere noire (phorum) : /* configuration apache pour forcer le login a un site. */

== configuration apache pour forcer le login a un site. ==

Bonjours.

Pour configurer apache2 pour un site qui ne demande pas de mots de passe. c'est a dire que son contenu est accessible depuis l'extérieur et a tous!
par exemple munin.

il suffit d'éditer le fichier dans /etc/apache2/httpd.conf de recopier une section
aux complet:

La ligne qui contiens : <Directory "url"> doit être modifier sur le site qui est dans
/var/www/votresite

Ensuite la ligne AuthUserFile contien l'adress du fichier d'identification qui sera crée avec htpasswd

Par exemple "/var/www/votresite/.htpasswd"

relancer apache2

ensuite il vous faut crée un fichier .htpasswd

En console en root placer vous dans le répertoire
cd /var/www/votresite

ensuite taper: htpasswd -c ./.htpasswd votreuser

et voila :)

Discussion catégorie:Trucs Administration

2007-05-20T03:18:20Z

Panthere noire (phorum) : configuration apache pour forcer le login a un site.

== configuration apache pour forcer le login a un site. ==

Bonjours.

Pour configurer apache2 pour un site qui ne demande pas de mots de passe. c'est a dire que son contenu est accessible depuis l'extérieur et a tous!
par exemple munin.

il suffit d'éditer le fichier dans /etc/apache2/httpd.conf de recopier une section
aux complet:

La ligne qui contiens : <Directory "url"> doit être modifier sur le site qui est dans
/var/www/votresite

Ensuite la ligne AuthUserFile contien l'adress du fichier d'identification qui sera crée avec htpasswd

Par exemple "/var/www/votresite/.htpasswd"

ensuite il vous faut crée un fichier .htpasswd

En console en root placer vous dans le répertoire
cd /var/www/votresite

ensuite taper: htpasswd -c ./.htpasswd votreuser

et voila :)

Catégorie:Trucs Shell

2007-03-18T20:33:49Z

Panthere noire (phorum) : Supprimer avec rm avec un filtre par utilisateur

Discussion catégorie:Trucs Noyau

2007-02-22T05:42:34Z

Panthere noire (phorum) : Obtenire le type de distribution via la console

== Obtenire le type de distribution via la console ==

Bonjours,
Pour savoir sur qu'elle type de distribution on ce trouve voici une petite astuce.

En console taper: lsb_release -a

C'est très utile pour savoir si un utilisateur distant ne sais pas sure qu'elle distribution il ce trouve, (les débutants)

Catégorie:Trucs Réseau

2006-11-09T07:40:11Z

Panthere noire (phorum) : Truc script shell pour le par feux iptables

[[Catégorie:Trucs]]
Comment bien tirer parti d'un réseau local, d'internet, les trucs sur le mail, etc.

== Truc script shell pour le par feux iptables ==

Je propose un petit script qui aidera les débutant pour iptables avec un ou 2 lien a disposition

il est loin d'être complet, il gere que les regles de bases, INPUT, OUTPUT.
ce qui suffi largement sous linux, pour les experts il n'on pas besoin de ce script.

Q.-Déja pourquoi un script ?
R.-Parce qu'il permet d'être transportable, donc il est possible de le sauvgarder et de le modifier facilment.

Le scripte avec les commantaires :)
Début du script
----

#!/bin/sh
PATH=/usr/eth0cal/sbin:/usr/eth0cal/bin:/sbin:/bin:/usr/sbin:/usr/bin:/sbin/iptables
DAEMON=/etc/init.d/fw
NAME=fw
ID=$$
DESC="Par Feux 1.13"
FAMOPTS="-T 0"
set -e

case "$1" in
start)
#variable ceci facilite la lisibilité et permet de modifier facilment les paramettres les plus #courament utiliser.
MAC="-m mac --mac-source XX:XX:XX:XX:XX:XX"
#note: n'est pas indispansable!
MACROUTEUR="-m mac --mac-source XX:XX:XX:XX:XX:XX"
RL="192.168.0.0/16"
#l'id de l'utilisateur en console taper :id pour le connaître
id="1000"

echo "Démarage de $DESC Pour l'user $id"

#Mise a zero des regle (par précaution)
#
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F

#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

iptables -X
iptables -t nat -X
#============================================================================================
# policy defaut
iptables -P INPUT DROP
#============================================================================================

#règle de filtrage
#Pour émettre un service Cupsys
#iptables -A INPUT -m state --state NEW -p TCP --dport 631 -j ACCEPT
#Service DNS
#Contacter un DNS, surtout si le réseau local en comporte un, est important,
#même pour les services DNS sur Internet,
#entres autres avec votre FAI ; il faut donc ouvrir les protocoles (TCP) et UDP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 53 -j ACCEPT
#Service SaMBa
# EPMAP => définit toutes les RPC !
iptables -A INPUT -p tcp -m multiport --source-port 135,137,138,445 $MACROUTEUR -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p udp -m multiport --source-port 135,137,138,445 $MACROUTEUR -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-port 135,137,138,445 $MAC -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p udp -m multiport --source-port 135,137,138,445 $MAC -s $RL -d $RL -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 135 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 135 -j ACCEPT
# NetBios-NS
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 137 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 137 -j ACCEPT
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 138 -j ACCEPT
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 139 -j ACCEPT
# SMB/IP => partage fichiers, imprimantes par SaMBa
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 445 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 445 -j ACCEPT
#Service SSH
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 22 -j ACCEPT
#Service FTP
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 21 -j ACCEPT
#Ce proteger contre les ping , mai en permettre quelque un
iptables -A INPUT -p icmp -m limit --limit 16/d -j ACCEPT
#de cette manière, une erreur ICMP passera, mais votre passerelle ne répondra pas aux reste ICMP.
iptables -A INPUT -p icmp -m state --state RELATED -j ACCEPT
#Ouverture des port pour les navigateurs
iptables -A INPUT -p tcp -m multiport --source-ports 21,80,81,82,83,84,8080 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#laisser msn sortire fichier compris
iptables -A INPUT -p tcp -m multiport --source-port 1863,6891 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#laisser sortire IRC
iptables -A INPUT -p tcp --sport 6667 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Les e-mail
iptables -A INPUT -p tcp -m multiport --source-port 119,110,25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#on autorise le transfere dans le reseau local ceci est a éviter !
#iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT

# Le service xvnc4viewer (mode graphique de pc a pc)
iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 5900 -j ACCEPT
#loopack
iptables -A INPUT -i lo -j ACCEPT

#on autorise le multicast DNS sur IP (pas d'adress mac en OUTPUT) et le port 5353 sinon gnome plente a l'arret!
#iptables -A INPUT -i eth0 -s 192.168.1.0/24 -d 224.0.0.0/24 -j ACCEPT
#iptables -A INPUT -i eth0 -d 192.168.1.0/24 -s 224.0.0.0/24 -j ACCEPT

# on log ce qui est stopper
#iptables -A INPUT -i eth0 -j LOG -m limit --limit 1/d --log-prefix="INPUT Final: " --log-level debug
#iptables -A INPUT -i eth0 -j LOG --log-prefix="N1 INPUT Final: " --log-level debug

#=================================SECTION OUTPUT=============================================================
# policy defaut
iptables -P OUTPUT DROP
#===========================================================================================================
#règle de filtrage
#Pour émettre un service Cupsys
iptables -A OUTPUT -m state --state NEW -p TCP --dport 631 -j ACCEPT
#Service DNS
#Contacter un DNS, surtout si le réseau local en comporte un, est important,
#même pour les services DNS sur Internet,
#entres autres avec votre FAI ; il faut donc ouvrir les protocoles TCP et UDP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 53 -m owner --uid-owner $id -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p UDP --dport 53 -m owner --uid-owner $id -j ACCEPT
#Service SaMBa
# EPMAP => définit toutes les RPC !
iptables -A OUTPUT -p tcp -m multiport --destination-port 135,137,138,445,5900 -s $RL -d $RL -m owner --uid-owner $id -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --destination-port 135,137,138,445,5900 -s $RL -d $RL -m owner --uid-owner $id -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 135 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 135 -j ACCEPT
# NetBios-NS
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 137 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 137 -j ACCEPT
# NetBios-DGM => exploration du réseau (basé sur SMB browser service)
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 138 -j ACCEPT
# NetBios-SSN => partage fichiers, imprimantes par Microsoft
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 139 -j ACCEPT
# SMB/IP => partage fichiers, imprimantes par SaMBa
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 445 -j ACCEPT
#iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 445 -j ACCEPT
#Service SSH
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 22 -m owner --uid-owner $id -j ACCEPT
#Service FTP
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 21 -m owner --uid-owner $id -j ACCEPT
#Ce proteger contre les ping , mai en permettre quelque un
iptables -A OUTPUT -p icmp -m limit --limit 16/d -j ACCEPT
#de cette manière, une erreur ICMP passera, mais votre passerelle ne répondra pas aux reste ICMP.
iptables -A OUTPUT -p icmp -m state --state RELATED -j ACCEPT
#Ouverture des port pour les navigateurs
iptables -A OUTPUT -p tcp -m multiport --destination-port 21,80,81,82,83,84,8080 -m owner --uid-owner $id -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#laisser msn sortire fichier compris
iptables -A OUTPUT -p tcp -m multiport --destination-port 1863,6891 -m owner --uid-owner $id -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m owner --uid-owner $id -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#laisser sortire IRC
iptables -A OUTPUT -p tcp --dport 6667 -m owner --uid-owner $id -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#Les e-mail
iptables -A OUTPUT -p tcp -m multiport --destination-port 119,110,25 -m owner --uid-owner $id -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#on autorise le transfere dans le reseau local ceci est a éviter !
#iptables -A INPUT -i eth0 -s 192.168.0.0/16 -j ACCEPT

#on autorise le loopack
iptables -A OUTPUT -o lo -j ACCEPT

#on autorise le multicast DNS sur IP (pas d'adress mac en OUTPUT) et le port 5353 sinon gnome plente a l'arret!
#iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 224.0.0.0/24 -j ACCEPT
#iptables -A OUTPUT -o eth0 -d 192.168.1.0/24 -s 224.0.0.0/24 -j ACCEPT
#iptables -A OUTPUT -o eth0 -j ACCEPT
#iptables -A OUTPUT -o eth0 -s 192.168.1.0/24 -j ACCEPT
# Le service xvnc4viewer (mode graphique de pc a pc)
#iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 5900 -j ACCEPT
# on log ce qui est stopper
#iptables -A OUTPUT -o eth0 -j LOG --log-prefix="N2 OUTPUT Final: " --log-level debug

echo "!! Chargement terminer !!"
;;
root)
#====================================================================================================================
#====================================================================================================================
# ROOT ID 0
#====================================================================================================================
#====================================================================================================================
MAC="-m mac --mac-source 00:0A:EE:55:22:2F"
MACROUTEUR="-m mac --mac-source 00:00:00:00:00:00"
RL="192.168.0.0/16"
idroot="0"
echo "!! PASSAGE EN MODE ROOT !!"
echo "!! Effacement !!"
#On efface les regles pour root
#
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F

#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

iptables -X
iptables -t nat -X
echo "!! Chargement un moment s'il vou plaît !!"
#============================================================================================
# policy defaut
iptables -P INPUT DROP
#============================================================================================
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p UDP --sport 53 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-port 135,137,138,445 $MACROUTEUR -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p udp -m multiport --source-port 135,137,138,445 $MACROUTEUR -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-port 135,137,138,445 $MAC -s $RL -d $RL -j ACCEPT
iptables -A INPUT -p udp -m multiport --source-port 135,137,138,445 $MAC -s $RL -d $RL -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 22 -j ACCEPT
iptables -A INPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 21 -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 16/d -j ACCEPT
iptables -A INPUT -p icmp -m state --state RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-ports 21,80,81,82,83,84,8080 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-port 1863,6891 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 6667 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --source-port 119,110,25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT $MAC -m state --state NEW,ESTABLISHED,RELATED -p TCP --sport 5900 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
#=================================SECTION OUTPUT=============================================================
# policy defaut
iptables -P OUTPUT DROP
#===========================================================================================================
iptables -A OUTPUT -m state --state NEW -p TCP --dport 631 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 53 -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p UDP --dport 53 -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 135,137,138,445,5900 -s $RL -d $RL -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --destination-port 135,137,138,445,5900 -s $RL -d $RL -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 22 -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -p TCP --dport 21 -m owner --uid-owner $idroot -j ACCEPT
iptables -A OUTPUT -p icmp -m limit --limit 16/d -j ACCEPT
iptables -A OUTPUT -p icmp -m state --state RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 21,80,81,82,83,84,8080 -m owner --uid-owner $idroot -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 1863,6891 -m owner --uid-owner $idroot -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m owner --uid-owner $idroot -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 6667 -m owner --uid-owner $idroot -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --destination-port 119,110,25 -m owner --uid-owner $idroot -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
echo "!! Chargement terminer !!"
;;
stop)
echo -n "Stopping $DESC: "
#
# On remet la police par défaut à ACCEPT
#
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#
# On remet les polices par défaut pour la table NAT
#
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

#
# On vide (flush) toutes les règles existantes
#
iptables -F
iptables -t nat -F

#
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat

iptables -X
iptables -t nat -X

echo "$NAME."
;;
*)
N=/etc/init.d/$NAME
echo "Usage: /etc/init.d/fw {start|stop|root} " $DAEMON >&2
exit 1
;;
esac

exit 0

----
Fin du script
Voila c'es tun exemple a adapter selon vos besoin. ici j'efface les regle aux depart pour eviter par la suite de taper un /etc/ini.d/fw stop puis un /etc/ini.d/fw start!
Quand a root il ne devrai pas pouvoire sortire !!!!!

attention eglament a la vertion d'iptables ici j'ai la vertion 1.3.5 avec les module aproprier.

un peut de doc :)
http://www.linux-france.org/prj/inetdoc/guides

Discussion Trucs:Accélérer le lancement de OpenOffice

2006-10-26T14:47:05Z

Panthere noire (phorum) :

Une autre option que vous pouvez désactiver dans les options, il y a java activer par défaut, ceci n'est pratiquement jamais utiliser par la majorité des utilisateur.
une fois la case cochée redémarrer l'application :)

Note le premier lancement après un boot est un peut plus lent mai sa reste nettement plus léger.