Forum Linux.général Iptables, INPUT/OUTPUT et options -s / -d

Posté par  .
Étiquettes : aucune
0
16
déc.
2007
Bonjour,

Je viens tout juste de me mettre à l'utilisation de IPtables et je me pose quelques questions en ce qui concerne les règles INPUT/OUTPUT et comment les utiliser avec les options globales -s et -d.

En effet, par exemple pour interdire les paquets provenant de l'IP 10.1.40.2 vers ma machine, je fais :
# iptables -A INPUT -s 10.1.40.2 -j ACCEPT

Si je veux interdire les paquets de ma machine vers cette même IP, je fais :
# iptables -A OUTPUT -d 10.1.40.2 -j ACCEPT

Ainsi, INPUT s'utilise pour les paquets entrants, il est donc sous-entendu que ce sont des paquets provenant d'une certaine source (d'où l'option -s)
Idem pour OUTPUT pour les paquets allant vers une certaine destination.

Dans ce cas, est-il pertinent/possible d'avoir des règles dans lesquelles on a :
-A INPUT -d 10.1.40.2 (qui ressemble à un FORWARD)
ou -A OUTPUT -s 10.1.40.2 ?

Merci de vos réponses :)
  • # explications :

    Posté par  . Évalué à 1.

    1°) ce que tu fais est illogique :
    tu veux INTERDIRE des paquets
    et tu met la regle ACCEPT

    2°) ordre d'execution des regles et passage dans les tables :
    http://www.linuxhomenetworking.com/wiki/images/f/f0/Iptables(...)
    http://upload.wikimedia.org/wikipedia/fr/thumb/3/3e/Netfilte(...)
    • [^] # Re: explications :

      Posté par  . Évalué à 1.

      Mouarf j'aurais du me relire, je voulais autoriser et non pas interdire des paquets.

      Sinon merci pour les schémas, c'est a peu près ce que je cherchais.
      Mais est-ce que un INPUT va toujours avec l'option -s et un OUTPUT avec -d ? Car c'est ce que j'ai vu dans la plupart des cas.
      • [^] # Re: explications :

        Posté par  . Évalué à 1.

        -s etant pour connaitre la source du paquet, il est coherent de ne laisser rentrer que certaines sources.

        les filtrer en sortie (OUTPUT) voudrait dire que tu es deja passé par INPUT/FORWARD et que finalement tu n'en veux pas, autant filtrer à l'arrivée.

        le filtre -d c'est un paquet à destination de.
        il est donc logiquement appliqué quand le paquet sort mais là encore suivant le traitement, le plus tot tu le places, le moins de traitement tu effectue.
      • [^] # Re: explications :

        Posté par  . Évalué à 2.

        C'est utile si tu as plusieurs interfaces réseau. Bon OK, généralement, t'auras les services qui écoutent principalement sur une seule, mais on sait jamais.

        Genre tu n'aurises à se connecter sur ton serveur web que les connexions destinées à ton adresse publique : -A INPUT -d mon_adresse_publique -j ACCEPT

        Ça n'est pas très courant, mais ça doit bien exister.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.