Voila j'ai rentrer ca:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
 
Et je peux pas surfer avec lynx    
 
Sinon pour pouvoir utilier apt-get fo ouvrir kel port ?

ça serait pas plutot ça :
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
 
et pour apt-get, la même chose mais en udp sur le port 53
avec en plus le port 80 bien sur ... et peut-être aussi les ports ftp au cas où tu essaies de dl sur un site ftp

Ben toute mes regles sont du style INPUT --dport et non l inverse et ca marche kom je le veux. Alors j y comprends plsu rien moi

dans les deux sens ca merde

ET je confirme que mon sens et bon car j'ai essayer d inverser pour SSH et paf ca blok direct dans le sens que tu me dit

pourquoi ne pas faire du stateful ?
/sbin/iptables -A INPUT -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Euhje vois pas bien ou tu veux en venir ?

tu veux surfer non ?
avec un stateful en tcp tu surferas pepere sans entrer 36000 regles sauf si c'est ce que tu veux faire
& tu peux mettre une regle de base en /sbin/iptables -P INPUT DROP

oausi mais bon c est un serveur il plutot preferable de fer plins de regles comme tu dis non
 
Personnellement elle sont toutes faites sauf pour internet (80) et apt-get (udp 53 ) et FTP (c'est tout ce dont j'ai besoin depuis internet).

 

j'imagine que pour ssh tu as un serveur alors que pour le web tu cherches à accéder un serveur externe ? soit y-a quelques subtilités que tu n'as pas compris, soit c'est moi qui suis encore à coté de mes pompes  

d'où tu tiens ça toi

53 = dns ... faut bien qu'ils résolvent les noms en ips non ?  

 
J'explik
 
J'ai un serveur (qui appartient au rezo local, il fait pas passerel ), c'est lui qui est sous linux et qui m embete avec iptables. Donc toutes mes regles actuelle fonctionnent (SSH, samba, webmin, cups...) les autres ordis client n'ont pas de firewall .
Par contre j'ai fe mes belles regles mais j'ai oublié que j'avais un minimum besoin d'aller sur le net depusi ce dernier (exemple mise à jour des packages par apt-get update)
 
Voila j espere que c est plus clair

Ben le routeur a toujours tout fait  

bof pour toi ceci suffira amplement

c'est ma foi simple,& léger
(ps au coup ou il te viendra l'idée de filtrer l'imcp cela ne sert a rien ( & notamment pas a te protéger avec la pauvre dsl que tu traines )

ouais mais dans ton script tu considere ke le serveur fait office de passerel alors ke en fait ils offre jsute des services aux ordinateurs du rezo (samba, ftp, cups..)
 
Si il est eteint je peux très bien acceder au net !
   

je ne le savais pas avant de faire le script
(j'étais entrain d'écrire le script quand tu l'as dis plus haut )
Mais si il est dans ton réseau local a quoi bon vouloir le firewaller de toute part ? vu qu'a priori tu te permets de l'éteindre
 

Je l'éteind que pour de grand moment d'inutilisation.
Mais bon si on peut boucher les ports qui servent a rien autant les boucher surtout que ca va pas me servir. Et pusi controler les autres ca fait aps de mal, je veux pas voir un joli rm -rf / sur mon serveur de fichier
Au niveau du rezo local c'est tout parfait (ca marche nikel) par contre c'est apt-get update qui marche pas qui m'ennuye .

il faut peut etre lui indiquer la passerrelle a utiliser pour acceder au net non ?
( & la c'est plutot a route/ip\ route qu'il faut s'addresser )

 
je vois pas marquer apache ... serait-ce parce que tu n'as pas de serveurs web ?    
comprends bien que si tu cherches à rendre possible l'acces à certains ports sur ton serveur, la chaine INPUT aura une regle correspondante avec le port en destination et vice versa pour l'OUTPUT
mais si tu veux faire l'inverse (ie : accéder au net depuis ton serveur), l'INPUT va bien entendu avoir un port source et plus, comme pour les autres, un port de destination (et vice versa pour l'output)
et pour le net il faut le 80 et le 53   (et le 21 pour le ftp en passif je crois ... m'enfin ça c'est le bordel alors je me mouille pas )

Et bien non sinon ca ne fonctionenrais pas non plus kan le firewall est giclé donc c bien netfilter ki vient fer son caca nerveux a moi ke ca soit moi ki soit parano  

pas de serveur web sur mon serveur (du moins pas encore).
AAhhh alors ca inverse  
Je comprends le merdier.
je vais tester de ce pas

mets ta regle de stateful je te dis ...

Wwwiiaaaaiiii apt-get update marche

t'as rajouté quoi ?

Ben pour le moment j'ai ca:
En INPUT:
ACCEPT If protocol is TCP and source port is 80
ACCEPT If protocol is UDP and source port is 53
 
En OUTPUT:
ACCEPT If protocol is TCP and destination port is 80
ACCEPT If protocol is UDP and destination port is 53
 
Bien entedu apt-get update à du mal avec les sources FTP là mais bon je vais arranger ca.

tu aimes faire compliquer quand tu peux faire simple hein

Ouais sauf en cours quoi   et pusi ca permet d'apprendre et gagner en peu en secu  
Je t'ai mis un peu de stateful pour te faire plaisir
Sinon le FTP marche parfaitement lancement du modprobe ip_conntrack_ftp
 
INPUT:
ACCEPT If protocol is TCP and source port is 21
ACCEPT If protocol is TCP and source port is 1024:65535 and state of connection is ESTABLISHED,RELATED
 
OUTPUT:
ACCEPT If protocol is TCP and destination port is 21
ACCEPT If protocol is TCP and destination port is 1024:65535 and state of connection is ESTABLISHED,RELATED

En tt cas merci à vous deux pour votre aide

 
et bien voilà
putain j'en aide du monde en ce moment, je suis irremplaçable

 
je t'ai dit de mettre du sport sur l'INPUT par simplicité pour que tu n'es qu'à inverser tes regles déjà existante mais du sport sur de l'INPUT c'est zero niveau secu, ça te fait un trou béhan dans ton firewall, c'est comme si tu n'en avais pas ... pour résoudre ce pb il faut foutre du stateful comme l'a dit mikala
le stateful  marche aussi sur de l'udp (pour le dns par exemple)  parait-il ...

cela fonctionne parfaitement sur l'udp
dans le cas ou tu as serveur par exemple  

& tu peut mettre le reste a DROP

faut pas mettre le flag NEW dans la premiere regle ? je croyais que c'était nécessaire pour la mise en activation du statefull pour un port donné, non ?

il est régulier mon dns

tu ping une ip    
ou veux tu que ton dns intervienne la    
Pour le flag New aucune idée  

c'est l'ip de mon serveur dns, je dis qu'il répond au ping de maniere vachement réguliere !  

arf .
j'étais encore sur l'idée de tes pings erratiques
le mien aussi est régulier

ça compte pas !
moi je parle de l'ip de mon fai
et pour mes ping erratique, ça ne concerne pas les ip, seulement les noms (preuvent que tu as suivi !   )

avec son pauvre ipv6 qui lui sert à rien en plus ...

effectivement j'ai _aucune_ requete en v6 dessus