Re: sos shorewall/iptables [RESOLU]

Pàgina inicial
Aquest missatge és part del següent fil:
Ml'arbre de fils complet ordenat per data
MJean-Marc Coursimault en <-
MBruno Vernay en ->

Reply to this message
Autor: Olivier Allard-Jacquin
Data:  
A: guilde
Assumpte: Re: sos shorewall/iptables [RESOLU]
    Bonjour Jean-Marc,

Jean-Marc Coursimault a écrit :
>> Je me suis mis à la porte d'une machine à 600 km d'ici en faisant
>> une erreur dans un fichier de conf de shorewall (je sais, il y a
>> une option check...).
>
>> Je cherche la commande la plus simple qui permettra d'ouvrir
>> l'ensemble des ports.
>
> Je me réponds à moi-même (et grâce à l'excellent tutorial d'Olivier
> Allard-Jacquin
> http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-06.html :
>
> #!/bin/bash
> iptables -F
> iptables -X
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>
> (mieux vaut mettre cela dans un script, car à distance, les 2
> premières lignes risquent d'avoir pour effet de se re-mettre dehors) 

    En fonction de la version du kernel, il me semble en effet que la
commande "iptables -F" n'ait pas toujours le même résultat. Et que cela
puisse influencer le comportement des règles par défaut ("iptables -P
xxxx").


    L'idée du script est bonne, mais lorsque tu manipules à distance le FW
d'une machine, tu peux l'améliorer avec une technique que l'on retrouve
souvent sur le net : Mettre ce script qui "tombe le firewall" dans un
cron, et l'exécuter disons toutes les 10 minutes.


    Ainsi, si les règles que tu as mis en place bloquent toutes les
connexions, au pire 10 minutes plus tard les règles seront redevenues
passantes.


    Si le script ci-dessus s'appelle "/usr/sbin/netfilter_shutdown.sh",
voici ce qu'il faut rajouter dans le /etc/cronttab :


[root@ /]# cat /etc/crontab
*/10 * * * * root /usr/sbin/netfilter_shutdown.sh

Le "*/10" veut dire "toutes les 10 minutes. 

    Evidemment, ceci n'est à utiliser que lors des phases de test/debug de
la configuration de netfilter/iptables. Une fois que tout les réglages
sont finis, il faut de supprimer/commenter cette ligne !


    Cordialement,


                        Olivier
-- 
~~~~~~~  _____/\_____  ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix /   _ \/ _   \    Olivier Allard-Jacquin
       /   / \  / \   \   Web:  http://olivieraj.free.fr/
      /___/  /  \  \___\  Mail: olivieraj@???
~~~~ /////  ///\\\  \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!



Aquest missatge es va enviar a les següents llistes de correu:
Guilde
Informació sobre la llista de correu | Missatges propers		<-Re: sos shorewall/iptablesRe: [HS] Controle d'une prise 220 part port série->
Archive des listes de la GUILDE administrat per L'administrateurLurker (versió 2.3)