[LA-discussions] Iptables - LDAP

[Matthieu <matthieuy@xxxxxxxxx>]

Salut à tous,

J'ai quelques problèmes avec "iptables". Je découvre petit à petit cet outil avec la doc http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial


J'utilise 2 serveurs LDAP (un maitre et un esclave). J'utilise la réplication LDAP pour synchroniser la base de donnée sur les 2 serveurs.
Je suis actuellement entrain de configurer "iptables" sur les 2 serveurs. 


Sur le "maitre" tous semble OK.

Par contre sur le serveur esclave j'ai quelques soucis :

lorsque je désactive toutes les régles iptables, j'utilise la commande suivante avec succès à partir du serveur esclave :


ldapsearch -x -H ldaps://ip_serveur_maitre:636

J'ai fait un script pour configurer le parefeu du serveur esclave :

#!/bin/bash
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT    DROP


iptables -t filter -P FORWARD   DROP
iptables -t filter -P OUTPUT    DROP

[...]

iptables -A INPUT -i eth2 -p tcp --dport 389 -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp --sport 389 -j ACCEPT
 iptables -A INPUT -i eth2 -p tcp --dport 443 -j ACCEPT


iptables -A OUTPUT -o eth2 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -i eth2 -p tcp --dport 636 -j ACCEPT
iptables -A OUTPUT -o eth2 -p tcp --sport 636 -j ACCEPT


La commande ldapsearch ne fonctionne plus après l'exécution du script. 


Le problème semble venir de la table "OUTPUT" car lorsque que j'accepte tout comme ceci :

iptables -P OUTPUT ACCEPT

ça fonctionne à nouveau ! Je ne souhaite pas autoriser par défaut ce qui sort


J'ai essayé plusieurs choses (ouvrir le protocole udp,...) mais sans résultat. Si quelqu'un aurait le temps pour m'expliquer où je me plante (ports, régles,...), je lui en serai très reconnaissant !

D'après la doc voici les ports utilisés :


- LDAP : 389
- LDAPS : 636
- SSL : 443

Autre petite question : l'ordre des règles est-il important ?


-- 

Matthieu