Bonjour,
opadmc a écrit :
je voudrai savoir s il y a un moyen d'autoriser a deux adresses ip l'acces d un site web et que tous les autres soit refusee.
|
- Le plus simple c'est la méthode suivante :
Politique par défaut à DROP en INPUT
Autorisation de l'adresse a1 (-s, --source [!] address[/mask] cf le man) vers le port 80 (--dport) de ton serveur en input
Autorisation de l'adresse a2 (-s, --source [!] address[/mask] cf le man) vers le port 80 (--dport) de ton serveur en input
Tu peux mettre les deux critères de sélection (-s et --dport) dans la même ligne.
A ces deux lignes je rajouterais le mécanisme stateful de netfilter (-m state NEW,ESTABLISHED par exemple)
- FORWARD : on s'en fout => DROP
Trois solutions :
- soit tu restes ouvert entièrement
- soit tu n'autorise que le trafic à destination de a1 et a2 en provenance de ton port 80 (--sport) (politique à drop puis ouverture au cas par cas)
- soit tu utilises une solution moderne : le mécanisme stateful de netfilter (tu n'autorises que le trafic en l'état ESTABLISHED)
opadmc a écrit :
Est ce qu il faut ouvrir le port 53 en input/output pour faire de la resolution DNS ( client, il n y a pas bind sur la machine) ?
|
Si tu n'as pas de serveur DNS dessus, et que tu ne veux pas faire de résolution DNS ça ne sert à rien.
Cependant tu ne comptes pas le mettre à jour ?
Message édité par o'gure le 28-01-2009 à 08:16:58
---------------
Relax. Take a deep breath !