iptables.

# je nettoie
for table in filter nat mangle ; do
iptables -t $table -F
iptables -t $table -X
done

# je fixe la politique
for chain in OUTPUT FORWARD INPUT ; do
iptables -P $chain DROP
done

# j'accepte les connexions sortantes
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# j'accepte les connexions entrantes pour mon apache
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Poste le Tuesday 27 November 2007 15:53:23

OK merci bien pour ta réponse !
Par contre, j'ai lu un article pas mal sur les firewall (conception des règles) mais je ne parviens plus à le retrouver ...
Auriez vous une référence par hasard ?
++
Cyrille

Poste le Tuesday 27 November 2007 19:57:30

Tu peux déjà lire l'article présent sur ce site : [lea-linux.org]
L'intro de C. Caleca est sympa aussi : [christian.caleca.free.fr]

Les trois règles que je t'ai donné sont bien suffisantes pour un client.

Poste le Wednesday 28 November 2007 11:38:31

OK merci beaucoup

# j'accepte les connexions entrantes pour mon apache
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW -j ACCEPT

Pour apache, je ne veux pas qu'il soit accessible depuis l'extérieur de mon réseau local, est-ce bien le cas ici ?
D'avance merci,
Cyrille

Poste le Wednesday 28 November 2007 13:57:02

Je ne connais pas la configuration de ton réseau. J'ai supposé ici une machine connectée à un switch sur un réseau privé. On peut supposer aussi que tu dispose d'un routeur connecté lui aussi au switch. Pour rendre ton apache accessible depuis internet, il faudrait configurer le routeur pour. Dans le cas contraire, apache est accessible uniquement au réseau local.

tu peux te rassurer en rajoutant l'option "-s 192.168.0.0/24" à la règle concernant apache, où 192.168.0.0/24 est l'adresse de ton réseau. )

Poste le Wednesday 28 November 2007 15:58:15

OK
bon voila
J'ai un portable connecté sur une LIVEBOX en ethernet sur l'interface eth1
(eth0 étant un cable ieee1394). Elle se connecte via un client DHCP
L'adresse du PC est 192.168.1.10 du routeur (LIVEBOX) 192.168.1.1

Ensuite j'ai un PC sous Windows avec réseau et jeu pour les enfants (192.168.1.9), et aussi quelques autres pc additionnels (192.168.1.X)

Sur ce portable j'ai APACHE PHP et MySQL pour du développement essentiellement WEB. Ce que je veux (voudrais) c'est un FIREWALL me laissant me connecter à internet et option messagerie... mais empêchant des gens de l'extérieur de se connecter à mon APACHE local. Donc c'est juste dans l'optique sécurité...

Je vais essayer d'écrire un ensemble de règles ce week end depuis la doc sus citée, pourrais je te le soumettre pour me dire si ça va ?

Merci,
cyrille

Poste le Wednesday 28 November 2007 18:17:39

Il me semble que la livebox n'autorise que les flux sortants de ton réseau local (192.168.1.0/24).
"Internet" ne peut pas accèder à ton réseau, donc forcement à la machine qui abrite apache.

Au fait, je viens de m'apercevoir qu'il manque une règle assez importante :

# j'autorise tout sur l'interface loopback
iptables -i lo -j ACCEPT
iptables -o lo -j ACCEPT

Poste le Thursday 29 November 2007 15:24:44

OK Merci beaucoup pour l'intérêt porté à ce post !
Mais avouez que ce n'est pas très convivial IPTABLE.....
Allez ++
Cyrille

Poste le Thursday 29 November 2007 17:12:20