Bonjour à tous ,  
 
dans le cadre de mes études je suis amené à faire un projet dans lequel je dois faire un firewall  
 
En cours on a étudié iptables (enfin on a été amener à faire des recherches sur google pour trouver comment ca marche )  
 
j'ai donc trouvé plusieur script mais je n'ai pas tout compris    oui pas tres doué le type    
 
enfin voila si vous pourriez m'indiquer un script pour autoriser certain port et en enlever d'autre cela m'aiderai déjà pas mal  
 
perso je pensais tout refusé  
 

 
 
puis authoriser certain port  
 

 
 
 
cela est il suffissant ? que rajouté ?  
 
 
puis une fois le script achevé ou le mettre ? j'ai lu /etc/rc.d/init.d mais aussi une histoire avec iptables-save  
 
je suis un peu - beaucoup perdu  

Y'a ce tuto, si ça peut t'aider : http://people.via.ecp.fr/~alexis/f [...] ewall.html

 
 
puis authoriser certain port  
 

 
 
 
Ouais, déjà ce serait mieux comme ça:
 

 
 
ok, t'acceptes le trafic entrant. Si tu n'autorises pas les répondes, tu ne vas pas aller loin...
 

faudrait pas plutot faire l'inverse ?
 
iptables -A OUTPUT -p tcp --sport www -j ACCEPT  
iptables -A INTPUT -m state --state ESTABLISHED -p tcp --dport www -j ACCEPT

sudo iptables -A INTPUT -m state --state ESTABLISHED -p tcp --dport www -j ACCEPT
 
 
iptables: No chain/target/match by that name
 
Cette comande semble ne pas marché ...

INPUT pas INTPUT

vraiment désolé j'dois vraiment être fatigué

 
Ca dépend si tu es le client ou bien le serveur ;-)

non serveur c'est  

 
et client

ok merci  
 
j'ai pas eu la réponse à cette question :  
 
puis une fois le script achevé ou le mettre ?
 j'ai lu /etc/rc.d/init.d mais aussi une histoire avec iptables-save  
 

 
Ouais, enfin si tu n'acceptes que les paquets ayant le flag SYN (NEW quoi), tu ne pourras pas faire grand chose non plus. Une fois que ta connexion est établie, il faut bien échanger des paquets dans les 2 sens.
 

 
Si t'es sous Debian, dans /etc/network/if-pre-up.d/
 
Sinon, comme les autres scripts...

alors moi je suis sous ubuntu d'ou ma question c'est comme debian? (logiquement oui mais je prefere etre sur )

 
Ce que je corrigeais c'était les ports (sport/dport) et la chaine (input/outpu) qui n'était pas du tout bon que ce soit pour un serveur ou un client.
 
pour info:
NEW ne signifie pas "seulement" les paquets ayant le flag SYN.
 
Pour netfilter, NEW signifie que le paquet n'appartient pas à une connection existante. Tu peux recevoir un paquet avec seulement le flag RST, si ce paquet n'appartient pas a une connection exisante il sera dans l'état NEW.
Si tu veux réellement  n'accepter que les paquets ayant un flag syn pour le NEW tu dois mettre --syn
 
Donc en gros pour un serveur HTTP pour faire les choses un peu propre il faut :

 
Ah. Ce n'était pas de moi cette erreur    
 

 
Raccourci pas du tout clair de ma part, c'est toujours bien de préciser.
 
Par contre, pourquoi ne pas faire:
 

Si tu ne précise pas le --syn oui c'est OK.
 
Généralement ce que je fais pour ouvrir des services c'est un truc du genre :

je pense que vous compliquez pas mal les choses  
 
mes besoins sont juste d'autoriser le port 80 pour "tout le monde " en entré  
 
et en sorti uniquement 2 machines ayant l'adresse ip 192.168.1.211 et 192.168.1.212
 
je suis obligé de mettre tout ca ?  
 

Dans la vie il y a deux manières de faire les choses :
 - les faire
 - et les faire proprement
 
A bon entendeur

ok ma réflexion étais sans doute déplacé mais comme je comprend pas forcement tout j'essai de simplifier