Je présume qu'il n'y a pas d'importance pour les différents services
(SSH, Web, FTP), non ?
En effet, ces règles seront indépendantes les unes des autres puisque
les conditions d'application des règles sont telles qu'il est
impossible qu'un paquet corresponde aux deux en même temps (le port de
destination ne peut pas être égal à la fois à 22, 80 et 21.... idem
pour les règles qui gèrent eth0 et celles qui gèrent wlan0, par
exemple) ;-)
Et encore une question, quel est la différence entre :
iptables -A OUTPUT -p tcp --dport 636 -j ACCEPT
et
iptables -A OUTPUT -p tcp --dport 636 -m state --state
NEW,RELATED,ETABLISHED -j ACCEPT
La différence c'est qu'il y en a une qui donne explicitement les
différents états (de la connexion correspondante) qui font que le
paquet sera accepté : nouvelle connexion, connexion associée,
connexion établie.
La seconde règle laissera donc de côté les paquets correspondant à
l'état INVALID (puisqu'il me semble que c'est le seul qui manque pour
le module "state").
Utiliser le module "state" fait appel aux modules de tracage (?) des
connexions du noyau (nf_conntrack et tous ses potes) c'est à dire
qu'au lieu de se contenter d'appliquer bêtement une règle paquet par
paquet, on considère les paquets qui sont passés avant pour considérer
les dialogues entre machines dans leur globalité (par exemple pour
considérer comme "RELATED" une connexion de données initiée par une
connexion FTP, vu que les données ne seront pas envoyées par la
connexion établie pour envoyer les commandes FTP .... )
Cela reste encore un peu flou pour moi, merci pour ton aide
Pas de quoi ;-)
Apprendre à utiliser iptables n'est pas ce qu'il y a de plus facile,
mais c'est tellement puissant que ça mérite qu'on y consacre du temps.
=^.^=
---
Liste de discussions de LinuxArverne
http://wiki.linuxarverne.org/listes_de_diffusion