Reprise du message précédent :

 
ben et alors dans des reseau locaux maison y a pas trop probléme !!
 
c'est sur que c'est derier temps on a vu des outils gnu comporté des backdoors comme tcpdump ou autres !!
 
m'enfin !!
 

ah oui pis je pense aussi !!
 
bon ok on peut bloquer les port de 1 a 1024 en sortie ceci etant selon tcp/ip utiliser pour des application server !!
 
or pour les port de 1025 a 65536 ils sont attribué dynamiquement au application genre il est impossible de savoir quel port ton client web va prendre donc je vois pas trop comment mettre en place un syeteme ki bloquerez tous les port en sortie !!

  Il ne faut pas confondre ports sources et ports de destination...

 
ben oui d'abord donc j ai rien dis !

bah vi mais tu sais kels servives tournent et donc le ports sur leskels ils se connectent
 
cela dit, moi non plus je ne bloke rien en sortie

lol
 
personne voit de soluce pour mon prob (voir mon msg précédent)
?

pour sela tu met ta chaine OUTPUT en ACCEPT (c'est pas necessaire de l'avoir en drop vu que t'as INPUT en DROP) et tu acceptes, en entrée, les reponses aux requetes sortantes etablies grace a ca :
 
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
 et comme ca tu peux pinger, surfer etc. évidement cette méthode entraine l'obligation de mettre l'OUPUT en ACCEPT. mais bon, faut pas oublier qu'on est pas la NASA hein l'input en drop suffit largement.
 
Pour résumer
1° iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
on laisse tout sortir, mais vu qu'on laisse rien entrer, pas de soucis. on laisse donc sortir les requetes (pings, urls etc.)
2° iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
on laisse entrer toute les connections établies, et donc qui on été demandées par nous meme (pings, urls etc.)

en effet, OUTPUT en accept
 
ça marche,  bien vu,  merci
jvais laisser comme ça pour le moment
 
 
 
 
mais faudra qd meme que je trouve le pkoi du comment lol (pour laisser output en drop et rajouter un autre truc ptèt)

ben tu laisse output en drop mais tu ajoutes cette ligne
 
iptables -A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
 
ainsi, tu acceptes toutes les nouvelles connections au départ de eth0 et donc tes requetes de ping, d'urls etc

génial merci à toi
 

c ki reviens a faire un accept sur le outpout nan, vu ke tu autorises TOUTE nouvelle connexion sortante    

non.
tu acceptes pas toutes les connections sortantes. seulement les nouvelles connections. et une nouvelle connections y a que toi en local qui peut l'ouvrir. qqn de l'extérieur ne peut pas car l'état serait ESTABLISHED (et de toute facon on bloque l'input), alors que l'on ne laisse sortir que le NEW.

  ca ne resoud pas le pb du backdoor evoque plus haut...
de plus tu es aussi obligé de laisser passer les paquets ESTABLISHED sinon le seul truc que tu peux faire, c'est de nouvelle connexions, mais tu peux pas t'en servir => ca sert a rien !
 
Donc, ca veut dire que tu laisse passer tout du reseau vers l'internet...

oui c bien ce ke je disais

[post pour retrouver le tomik facilement via l'option de recherche]

Topic de soft&Rezo en cours : [Comparatif - Install Firewall Sur PC] LRP, MNF, Smoothwall, ...
 
ca peut en interresser certains

allo

Voila le mien, il est pas encore fini
 
http://hurricane.homelinux.net/scripts/firewall