Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 16/03/2021, à 12:16

Enikka

iptables - autoriser les connection "established"

Bonjour,

J'ai beau chercher un peu partout j'ai du mal à comprendre le pourquoi de la règle : 

# iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

Pourtant en testant (avec un INPUT Policy à DROP) sans elle, je n'accède plus à internet malgré la règle suivante :

# iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Si j'accepte tous les paquets sur le port 80 en INPUT pourquoi ai-je besoin en plus d'accepter les paquets des connections établies?
une fois la connection établies avec un site web, les paquets ne passent plus par le port 80?

Merci par avance smile

Hors ligne

#2 Le 16/03/2021, à 19:37

diesel

Re : iptables - autoriser les connection "established"

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

veut dire que tu acceptes qu'une autre machine se connecte à la tienne avec une requète http, pas que la tienne aille se connecter en http à une autre machine.

Pour cela, il te faut une règle du type

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

Et il faudrait que tu révises un peu les fondamentaux du filtrage de paquets.

Amicalement.

Jean-Marie

Dernière modification par diesel (Le 16/03/2021, à 19:39)

Je déteste qu'on cherche à me faire passer pour un con, j'y arrive déjà très bien tout seul.
Le mort, il sait pas qu'il est mort ; c'est pour les autres que c'est dur.................... Pour les cons, c'est pareil.

Hors ligne

#3 Le 18/03/2021, à 11:18

bruno

Re : iptables - autoriser les connection "established"

Quand tu veux afficher la page https://forum.ubuntu-fr.org ta machine envoie une requête HTTPS sur le port 443 du serveur forum.ubuntu-fr.org. Pour pouvoir recevoir la réponse, une fois la connexion établie, ta machine ouvre un port aléatoire non privilégié (>1024).
La première règle iptable autorise les connexions entrantes sur ta machine (INPUT) qui ont été initiées par ta machine et sont établies (ESTABLISHED).

#4 Le 21/03/2021, à 13:21

Enikka

Re : iptables - autoriser les connection "established"

Bonjour,
Merci beaucoup pour vos messages, à écouter des tutoriaux sans trop réfléchir on passes à côté de certains point :s
En fait la règle sur le port 80 en INPUT permet à une autre machine d'accéder à l'interface web de la machine sur laquelle je règle iptables (NAS sous OMV)!

@bruno, ok l'explication et la raison de cette règle sont enfin clairs pour moi, merci beaucoup!

Hors ligne

Pages : 1