Problème de règles (IPTABLES)

Support Debian
#41

Dans ton script la règle ACCEPT pour ces paquets est placée avant la règle LOG. Quand une règle accepte (ou bloque) un paquet, on arrête de parcourir les règles suivantes. On dit qu’ACCEPT, DROP ou REJECT sont des cibles terminales, car elles arrêtent le parcours des règles suivantes de la chaîne, contrairement à d’autres cibles comme LOG. Les cibles de la table nat comme MASQUERADE sont aussi terminales.

Si tu veux logger des paquets acceptés, il faut insérer une règle LOG avant la règle ACCEPT correspondante. Mais ça n’a guère d’intérêt à mon avis.

#42

Yes, de bonnes bases, voilà ce qu il me manque.
L’idéal serait que je prenne des cours dédiés à iptables ^^ :013 , car les bouquins que je possède, et l’internet sont trop superflus dans leurs explications et ou pas à jour !

C’est quand même une sacrée bonne chose que d’avoir ce script nikel :smiley:

Merci !

#43

Superflues ?
Je n’ai jamais vu de documentation trop détaillée sur iptables. Plutôt le contraire.
Iptables, c’est compliqué, il faut faire avec. Je le classe dans la catégorie des sujets auxquels “tant qu’on n’a pas tout compris, on n’a rien compris”. Et bien entendu, il est illusoire de prétendre manipuler iptables efficacement sans de solides bases en réseau TCP/IP.

1 J'aime
#44

Hello :slightly_smiling:

Suite à l’épluchage des paquets rejetés, je souhaite ajouter une règle spécifique pour autoriser:

Cette règle me permettra d’accéder instantanément à “TeamSpeak 3 Webinterface by Psychokiller” pour gérer / paramétrer le service Teamspeak
Si cette règle n’est pas présente le tps d’affichage de la page WEB est d’environ 60 secondes VS instantanée si toutes mes règles sont effacées.

J’hésite donc entre 2 , j’ai du mal à faire la différence, mais quelque chose me fait pencher la première. :unamused: (Je la crois plus précise …)

ou alors

Merci pour vos retours

#45

[mono]filter[/mono] est la table par défaut si on n’en spécifie pas, donc l’option -t est facultative.
Par contre si on veut utiliser --dport, la spécification du protocole ([mono]-p tcp[/mono]) est obligatoire. La deuxième forme provoquera donc une erreur.

#46

C’est noté ! et ce sera donc la première règle . Merci.

Dans un souci d’homogénéisation, puis-je transformer toutes mes règles contenant [mono]iptables -t filter -A[/mono] par [mono]iptables -A[/mono] ?

#47

Oui. Ou l’inverse.
Je t’invite à faire de même avec -d/–destination, -s/–source.

#48

Je m’y atèle.

:023 Merci.

#49

Je suis désolé de déterrer ce sujet mais je tenais à dire un grand bravo à PascalHambourg pour sa pédagogie et sa patience. J’ai lu ce sujet de bout en bout même si cela ne correspondait pas exactement à mes recherches et j’y ai quand même appris pas mal de choses.
Navré si ça enquiquine du monde un tel déterrage, mais quand quelque-chose est bien, c’est plutôt cool de le dire aussi :wink:

1 J'aime