Bonjour à tous,
 
J'essaie de filtrer l'accès à un serveur apache chez OVH. L'idée étant d'autoriser seulement certaines IPs à accéder à un site web.
 
Si je mets la règle classique :
 
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
 
L'accès est autorisé de partout. Mais quand je veux filtrer avec :
 
iptables -t filter -A INPUT -p tcp --dport 80 -s MONIP -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 80 -s AUTREIP -j ACCEPT
et que je drop tout le reste, l'accès ne se fait plus.
 
Ma partie http/s du firewall ouvert à tous:
 
# HTTP(S) In/Out
iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 80 -s MONIP -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 80 -s AUTREIP -j ACCEPT
iptables -t filter -A INPUT -p tcp --dport 443 -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 443 -s MONIP -j ACCEPT
#iptables -t filter -A INPUT -p tcp --dport 443 -s AUTREIP -j ACCEPT
 
iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
 
Si j'inverse les # et que je filtre, plus rien ne passe....
 
Je finis mon fw avec:
iptables -A INPUT -p all -j DROP
iptables -A OUTPUT -p all -j DROP
iptables -A FORWARD -p all -j DROP

 
Je ne comprends pas pourquoi .
Merci d'avance pour toute idée.
 

1. tu n'utilises pas les capacités stateful de ton firewall + tu dropes par défaut tout ce qui sort.
2. Tu ne matches pas correctement le traffic retour (--sport 80 -d  MONIP)
=> le flux n'est pas autorisé