hummm
2 trucs , deja les DNS ils utilisent aussi le port 53 en TCP pour info
pk je ne sais pas mais je remarqué que ca marchait mieux avec le TCP et
UDP
et sinon il faut que tu autorises le input de DMZ vers internet idem
pour le output
en fait le plus simple c meme de laisser le input et output en ACCEPT
car de toute facon tu passes à travers le FORWARD qui bloquera.
Le INPUT OUTPUT sont utils soit pour filtrer un serveur lui meme, soit
pr des configs très spécifiques de IPTABLES
ajoutes ceci aussi , ca permettra au cnx etablies sur les ports
autorisés 53 pour toi d'etre accepté pour leur retour, ca evite de
devoir ouvrir les port 1024 à 65535
et l'autre règle permet de virer les états bizar
au début des rules ajouter :
iptables -A FORWARD -s 0.0.0.0/0.0.0.0 -d 0.0.0.0/0.0.0.0 -m state
--state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>
--
francois bayart
avence [ electro-communication ] · 217 rue saint-honoré · 75001 paris
france
http://www.avence.com · tel: +(33) 1-4927-9830 · fax: +(33) 1-4927-9894