Salut,
De ma LENNY j’essaye en vain de réaliser une connexion vnc en local vers un pc en 192.168.30.2 mais rien y fait, vnc-kernel-server est bien installé sur le poste distant à contrôler.
VINAGRE me répond “La connexion à été fermé”
Mon iptables est comme suit :
[code]#!/bin/sh
PATH="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
autoriser le trafic local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
suivi de connexion
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
autoriser les connexions sortantes vers internet
iptables -A OUTPUT -o eth0 -j ACCEPT
autoriser les connexions entrantes depuis le LAN
iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT
autoriser les connexions VNC-SSH sortantes vers le LAN
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 5900 -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 22 -j ACCEPT
Spécial Rsync
iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 873 -j ACCEPT
Ports sepciaux a ouvrir
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58400 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58410 -j ACCEPT
autoriser les connexions entrantes HTTP et FTP depuis internet
FTP requiert le module de suivi de connexion ip_conntrack_ftp ou nf_conntrack_ftp
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 21 -j ACCEPT
Bloquer l’acces a internet depuis xx.xx.xx.xx
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.30.2 -j REJECT --reject-with admin-prohib
autoriser les connexions routees du LAN vers internet
iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
masquage source necessaire si le routeur amont n’a pas de route de retour vers le LAN
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
[/code]