bip
Et bien ethx c’est eth1 pour toi, et tu n’as pas d’ethy, donc tu supprimes tout ce qui le concerne.
Mais l’interet de ce tuto n’est pas tant dans des exemples choisis de config qui ne correspondent pas forcément à ta situation que de mettre en place un systême de parefeu qui se lève au boot, et de comprendre quelques bases d’une config de parefeu. En fait il faut te faire ta config toi même en fonction des conditions propres à ton usage.
bip
Si. C’est en fait totalement n’importe quoi 
Sur l’input/filter: la règle que tu as mise en premier, -A INPUT -i eth1 -j ACCEPT, accepte tous les paquets qui arrivent sur eth1, donc les autres règles derrières ne sont jamais atteintes et tout ce qui entre par ta carte est accepté.
Ensuite, sais tu à quoi correspondent le port 21 et le 5222 que tu veux ouvrir ? Et les autres ?
Sur le forward/filter: à quoi ça sert les règles que tu y mets puisque tu n’as qu’une interface ? Tu n’as rien à forwarder.
Sur le postrouting/Nat: qu’est ce que tu vas mettre un -A POSTROUTING -o eth1 -j MASQUERADE qui sert à partager une connection ? Tu n’as rien à partager, ce n’est pas un routeur.*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [735:146906]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
COMMIT
*mangle
:PREROUTING ACCEPT [778:237408]
:INPUT ACCEPT [775:236980]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [735:146906]
:POSTROUTING ACCEPT [744:148960]
COMMIT
*nat
:PREROUTING ACCEPT [37:2133]
:POSTROUTING ACCEPT [11:708]
:OUTPUT ACCEPT [25:1704]
COMMIT
*raw
:PREROUTING ACCEPT [834:243352]
:OUTPUT ACCEPT [791:152850]
COMMIT Devrait suffire. Aprés, à toi juste d’ouvrir ce dont tu as besoin comme port dans l’input, sur le modèle du port ssh que j’ai laissé (port 22).
bip
OK, comme il y en avait beaucoup, je croyais que tu avais laissé en vrac des trucs trouvés dans des tutos.
bip
ben si ça marche, tu empêche déjà les choses d’entrer, et ça peut être considèré comme suffisant. si tu veux paranoifier un peu, tu peux maintenant bloquer l’output, et n’ouvrir que ce qui est légitime.
bip
Ben tu peux ajouter temporairement une règle à la fin pour loguer les paquets qui s’apprètent à être droppés: iptables -A INPUT -i eth1 -j LOG --log-prefix "[DBG]" ensuite, tu suis les paquets dans une console avec tail -qf /var/log/messages | grep "[DBG]" ensuite, tu fais ta connection hotmail, tu regardes les traces et tu essayes de voir ce qui est bloqué.
Une fois terminé, ne pas oublier iptables -D INPUT -i eth1 -j LOG --log-prefix "[DBG]"
bip
Oui, il est doublé par erreur de frappe. Désolé.
c’est corrigé.
bip
[quote]-A INPUT -p icmp -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT[/quote]
Ne PAS bloquer aveuglément les ICMP, et SURTOUT PAS avant la règle qui accepte les paquets ESTABLISHED ou RELATED ! 
C’est le meilleur moyen de casser des communications !
Je n’ai pas bien compris si cette machine est un serveur ou une station (client) ?
[quote]enrealité je me demandais si ce n’etait aps à cause qu’il utilise une connection securisée en https.
Est-ce que je n’aurais pas alors a ouvrir un port specifique?[/quote]
Non, c’est une connexion sortante. Comme tes règles autorisent toutes les connexions sortantes, tu n’as pas besoin d’ouvrir des ports spécifiques.
Je ne sais pas à quelle application correspond le port 10291, mais ce paquet est en UDP alors que ta règle concerne le protocole TCP, normal qu’il soit bloqué. Mais ça n’a a priori rien à voir avec Hotmail.
bip
Si elle n’héberge pas de serveur FTP, et tu n’as pas besoin d’ouvrir le port TCP 21 en entrée. De même si tu ne t’y connectes pas à distance en SSH depuis une autre machine, tu n’as pas besoin d’ouvrir le port TCP 22 (mais ça peut toujours servir un jour quand la console est plantée). Tu n’as pas besoin non plus d’ouvrir le port TCP 1863 (MSN Messenger) en entrée puisque ta machine est cliente et établit une connexion sortante vers ce port du serveur MSN.
bip
bip
[quote=“mattotop”]Si. C’est en fait totalement n’importe quoi
Sur l’input/filter: la règle que tu as mise en premier, -A INPUT -i eth1 -j ACCEPT, accepte tous les paquets qui arrivent sur eth1, donc les autres règles derrières ne sont jamais atteintes et tout ce qui entre par ta carte est accepté.
[/quote]
Je prends sans avoir lu la suite mais Matt, cette ligne, c’est toi qui me l’a fait ajouter pour un serveur dhcp.