Bonne année a tous!
J’ai un serveur sous debian et un pc portable client en wifi qui est soit sous windows soit sous mandrake.
J’aimerais mettre le par feu uniquement sur le serveur afin d’alleger le client.
J’ai un script qui est fortement inspiré de la formation d’alexis delattre, mais je je voudrais etre sur qu’il protege bien mon reseau.
Le serveur est relié au net par l’interface eth0 et le client est relié au serveur par l’interface wlan0.
Au début je bloque toutes les entrées et le forward :
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Ensuite j’accepte les connections déjà etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Ensuite j’ouvre tous les ports que j’utilise pour la regle INPUT , par exemple :
iptables -A INPUT -p tcp --dport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
Et pour le nat :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Voici ls questions que je me pose :
Les regles qui permettent d’accepter les connexions dejà etablies ne sont elles pas trop permissives?
Que font elles exactement?
Est ce qu’elles peuvent ouvrir d’autres ports que ceux que j’ai défini?
J’ai essayé de me passer de cette ligne :
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
mais je ne peux me connecter a rien, pourtant j’ouvre bien les ports necessaires par la suite.
Et pour la ligne :
iptables -A FORWARD -i eth0 -o wlan0 -m state --state ESTABLISHED,RELATED -j ACCEPT
est ce que ca n’autorise que des connexions qui ont été acceptées par le serveur par rapport aux ports que j’ai ouvert, ou est ce que ca peut en ouvrir d’autres?
Merci pour vos explications car j’en ai bien besoin comme vous pouvez le voir :d