Iptables autoriser traceroute

• Il n’y a aucun LOG dans les règles iptables, normal que les paquets IPv4 bloqués n’apparaissent pas dans les logs du noyau.
• Même remarque que pour les règles ip6tables : sauf erreur de lecture de ma part les connexions sortantes vers les divers ports TCP par eth0 ne sont autorisées que vers l’adresse de la machine elle-même, pas vers des adresses extérieures. Dans ces conditions je ne vois pas comment elle peut se connecter à un serveur Whois.

Je ne comprends pas cette histoire d’adresse IP failover qui n’existe plus ; les adresses IPv4 et IPv6 de tes règles de filtrage sont-elles les adresses actuelles d’eth0 ou bien d’anciennes adresses failover ? Les anciennes adresses n’ont pas lieu d’apparaître dans les règles.

[quote=“PascalHambourg”]- Il n’y a aucun LOG dans les règles iptables, normal que les paquets IPv4 bloqués n’apparaissent pas dans les logs du noyau.
[/quote]
Oui le LOG n’est pas activé sur iptables, cela ne change rien même en l’activant, de plus je fais mes tests en ipv6…

[quote=“PascalHambourg”]Dans ces conditions je ne vois pas comment elle peut se connecter à un serveur Whois.
[/quote]
C’est-à-dire ? Un exemple concret à me donner ? Parceque si je fais un whois sur une IP (en v4) cela fonctionne…

Hum je pense que j’ai été un peu vite…

Voici l’erreur que j’ai quand j’essaye de faire un lookup :

J’ai l’impression qu’il faut ouvrir une plage TCP allant de 51XXX…

199.71.0.48 est une des adresses IPv4 de whois.arin.net. Ce nom de domaine a aussi plusieurs adresses IPv6.

Ne pas confondre le type d’adresse sur lequel porte la requête et le type d’adresse du serveur auquel on envoie la requête. C’est comme en DNS, on peut parfaitement demander de résoudre une adresse IPv6 à un serveur IPv4 et vice versa. Ceci dit, vu les règles ip6tables, je ne vois pas non plus comment une connexion whois peut passer en IPv6.

Non, le port source des requêtes n’a pas d’importance. Ce qu’il faut, c’est supprimer les conditions [mono]-d [/mono] de tes règles OUTPUT.