Re: sos shorewall/iptables

トップ ページ

このメッセージに返信
著者: sylvain letuffe
日付:  
To: guilde
題目: Re: sos shorewall/iptables

> iptables -F
> iptables -X
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
>
> et ensuite, histoire de voir, j'ai voulu refaire la même manip moi-même.
> Mais le iptables -F a apparemment supprimé l'effet des ACCEPT et je me
> suis re-retrouvé dehors ! Doit y avoir qqpart un paramétrage disant
> si, en l'absence de règles, le défaut est ACCEPT ou DROP...


exact !

c'est justement le rôle du "-P", quand tu écris un script de firewall, tu peux
définir un comportement "si aucune règle ne correspond"

en faisant au choix :
iptables -P INPUT ACCEPT
ou
iptables -P INPUT DROP

personnellement je recommande grandement la solution 1), justement pour la
raison qui fait que iptables -F ré-ouvre tout alors que dans le cas 2) un
iptables -F bloque tout !

mais shorewall a semble-t-il choisi la 2) ou du moins, j'imagine qu'il doit y
avoir une option qui a choisi la 2.

L'argument en faveur du 2) est le comportement un peu parano qui consiste à se
dire :
si jamais j'oublie une règle disant d'interdir l'accès à tel port alors ce
sera bloqué par la "policy" par défaut ( -P ).






--
Sylvain Letuffe sylvain@???
jabber id : sly@???