Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

script iptables

marc2006

Bonjour,

j'aimerais partager avec vous mon script iptables, fait avec les miettes que j'ai pris d'internet par ci par là :lol:

#!/bin/sh
echo "Configuration IPtables"
echo " [IPV4 Debut]"
IPTABLES=/sbin/iptables

echo 0 > /proc/sys/net/ipv4/ip_forward


# Alors la, on va appliquer quelques astuces
# pour empêcher les attaques de type spoofing
# et bloquer les réponses ICMP du firewall,
# comme ça c'est très propre. Attention, le
# fait de bloquer le trafic ICMP sur
# le firewall bloque les pings.

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  do
    echo 1 > $filtre
  done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Nous vidons les chaînes :
$IPTABLES -F

# Nous les faisons pointer par défaut sur DROP 
$IPTABLES -X

# Nous les faisons pointer par défaut sur DROP

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Nous faisons de même avec toutes les autres tables, 
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes 
# puisque tout est bloqué au niveau "filter"

$IPTABLES -t nat -F
$IPTABLES -t nat -X

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -F
$IPTABLES -t mangle -X 

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

########################## FIN des "politiques par défaut"####################


########################## DEBUT des règles de filtrage#######################

# Autorise l'interface locale à dialoguer avec elle-même !
$IPTABLES -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT  -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

# Autorise le trafic sortant sur des connexions ouvertes
$IPTABLES -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Autorise le trafic entrant sur des connexions ouvertes
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

# Ignore les paquets provenant de l'extérieur avec une adresse non routable sur Internet
$IPTABLES -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$IPTABLES -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les process locaux
#$IPTABLES -t filter -A OUTPUT -o eth0 -s 192.168.0.10  -d 0.0.0.0/0 -p all -m state --state ! INVALID           -j ACCEPT
#$IPTABLES -t filter -A INPUT  -i eth0 -s 0.0.0.0/0 -d 192.168.0.10  -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
#$IPTABLES -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Nous considérons que la machine elle même est sûre 
# et que les processus locaux peuvent communiquer entre eux 
# via l'interface locale :

#$IPTABLES -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#$IPTABLES -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

#$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
#$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT



######################################""""""PORT a ouvrire""""""""""########

# Autorise les connexions entrantes sur un serveur local #
# Creer une ligne par protocole en changeant --dport     #
# http, https, ftp, ssh, smtp, 53, 8080, ...             #
##########################################################
# =============++++>>>> ENTRANTS
#              TCP

$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport http -j ACCEPT # Apache
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport ftp -j ACCEPT # ftp
$IPTABLES -A INPUT -i eth0 -m state --state RELATED -p tcp --dport 16401:16411 -j ACCEPT # proftpd
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport 6891 -j ACCEPT # amsn
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/24 -d 0.0.0.0 -j DROP
$IPTABLES -A INPUT -i eth0 -m state --state NEW -p tcp --dport 37202 -j ACCEPT # azureus
#$IPTABLES -A INPUT -i eth0 -p tcp --dport 5060 -j ACCEPT # SIP
#$IPTABLES -A INPUT -i eth0 -p tcp --dport 4569 -j ACCEPT # IAX

#                          UDP

$IPTABLES -A INPUT -p udp -s 212.27.38.253 -j ACCEPT
#$IPTABLES -A INPUT -p udp -m udp --dport 16370:16400 -j ACCEPT # rtp asterisk
$IPTABLES -A INPUT -p udp --dport 37202 -j ACCEPT # azureus
#$IPTABLES -A INPUT -p udp -m udp --dport 16401:16411 -j ACCEPT # proftpd
#$IPTABLES -A INPUT -p udp --dport 5060 -j ACCEPT # SIP
#$IPTABLES -A INPUT -p udp --dport 4569 -j ACCEPT # IAX
#$IPTABLES -A INPUT -p udp --dport 10001 -j ACCEPT
#$IPTABLES -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm --to 65535 -j DROP
#$IPTABLES -i eth0 -A INPUT -p udp -s 212.27.52.5 --sport 5060 -m length --length 60 -j DROP

# Autorise les connexions sortantes vers Internet        #
# Creer une ligne par protocole en changeant --dport     #
# http, https, ftp, ssh, smtp, 53, 8080, ...             #
# Les correspondances nom/port sont disponibles dans le fichier /etc/services
# =============++++>>>> SORTANTS TCP

$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED -p tcp --dport ftp -j ACCEPT    # transfert de fichiers
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport pop3 -j ACCEPT    # lecture d'email
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport pop3s -j ACCEPT    # lecture d'email
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport imap -j ACCEPT    # lecture d'email
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED -p tcp --dport http -j ACCEPT    # web
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport webcache -j ACCEPT # web
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport https -j ACCEPT    # web securisé
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport nntp -j ACCEPT    # forum usenet
$IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED -p tcp --dport 6891 -j ACCEPT # MSN - transfert de fichiers
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport smtp -j ACCEPT    # envoi d'email
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 1755 -j ACCEPT    # vlc 
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 2401 -j ACCEPT    # cvs
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport rtsp -j ACCEPT    # Real Player
$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport msnp -j ACCEPT    # MSN
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport ircd -j ACCEPT    # IRC
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 5222 -j ACCEPT    # Jabber
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport 8666 -j ACCEPT    # mandriva chat applet
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport squid -j ACCEPT    # web via proxy
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport ssh -j ACCEPT    # secure shell
#$IPTABLES -A OUTPUT -m state --state NEW -p tcp --dport nicname -j ACCEPT # whois

# =============++++>>>> SORTANTS UDP

#$IPTABLES -A OUTPUT -p udp --sport 68 --dport 67 -j ACCEPT    # DHCP : attribution automatique d'IP
$IPTABLES -A OUTPUT -p udp --dport 53 -j ACCEPT            # DNS : résolution de noms en IP

# =============++++>>>> SORTANTS ICMP
$IPTABLES -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT    # Autorise Ping vers l'exterieur

# FIN des règles de filtrage

# traffic SIP
#$IPTABLES -A FORWARD -i eth0 -o 82.22X.... -m udp -p udp --dport 5060 -d 192.168.0.10 -j ACCEPT
# traffic RTP
#$IPTABLES -A FORWARD -i eth0 -o 82.22X..... -m udp -p udp --dport 10000:20000 -d 192.168.0.10 -j ACCEPT

#on accepte tout ce qui sort vers l'exterieur
#$IPTABLES -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
#$IPTABLES -t filter -A INPUT  -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT

#on accepte de forwarder vers l'exterieur
#$IPTABLES -A FORWARD -o eth0 -j ACCEPT

# Effectue la translation d'adresses :
#$IPTABLES -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

# FIN des règles de "port forwarding"
# Toutes les règles qui n'ont pas passé les
# règles du firewall seront refusées ...

# Par curiosite, on peut tracer les demandes de connexions en provenance de l'exterieur
# Traces disponibles dans le fichier /var/log/messages
$IPTABLES -A INPUT -m state --state NEW -j LOG
# Idem pour les demandes faites localement vers l'extérieur (vers, troyan, ...)
$IPTABLES -A OUTPUT -m state --state NEW -j LOG

$IPTABLES -A FORWARD -j DROP
$IPTABLES -A INPUT -j DROP
$IPTABLES -A OUTPUT -j DROP

#$IPTABLES -t filter -A INPUT -j QUEUE
#$IPTABLES -t filter -A OUTPUT -j QUEUE

# FIN des règles 

echo " [IPV4 Termine]"

S'il y a des améliorations à faire, à ajouter, à corriger, à supprimer ..., n'hésitez pas à m'en faire part

Merci

philippe83

Tu es poursuivi par la CIA/KGB/DGSE ?

Parceque si c'est pour une station personnelle, tu fais dans la paranoïa..
Dis nous à quoi tu destines cette station .. On saura au moins ce que tu veux faire.

Cordialement.

marc2006

:hammer:

j'héberge un serveur web, ftp, et téléphonique avec asterisk

et dans la freebox, j'ai mis en dmz mon ip 192.168.0.10

A+

ps : la CIA me cherche effectivement ! :lol::hammer:

abyss

salut, je ne suis pas expert mais
j'ai l'impression que tu te complique la vie

je suis d'accord avec toi sur toute la partie des politiques par défaut, c'est ça

les connections en lo sont ouverte 3 fois :

$IPTABLES -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
$IPTABLES -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
[...]
#$IPTABLES -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#$IPTABLES -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT

#$IPTABLES -A INPUT -i lo -m state --state NEW -j ACCEPT
#$IPTABLES -A OUTPUT -o lo -m state --state NEW -j ACCEPT

ok c'est très restrictif, mais si ta machine est sure...
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT suffisent

ensuite tu as mis des regles avec ip_conntrack :

#$IPTABLES -t filter -A OUTPUT -o eth0 -s 192.168.0.10 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
#$IPTABLES -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.10 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

pour ton serveur
pourquoi ne fait tu pas la meme chose avec ta passerelle :
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

et là tu n'as pas a definir les services acceptés sortant car tout ce qui vient sort de ta machine est accepté ->! INVALID = NEW+RELATED+ESTABLISHED donc tout ton paragraphe ports à ouvrir ne sert alors à rien
par contre et c'est normal, personne ne peut tenter une connection avec toi de l'exterieur... et c'etait le but
meme pour le ping -> content ? :hammer:

ps : il va falloir faire qqchose dans la doc pour iptables... c'est pas la premiere fois que quelqu'un me dit qu'il va chercher son script pour les connections sur le net donc si un jour je suis méchant je met sur un site en script
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT -> comme ça avec un ptit couteau suisse j'irai voir samba ou ouvrir des pop up... dans le meilleur des cas

edit : autrement à part beaucoup de redondances et une rigueur disproportionné le script doit marcher

marc2006

Merci abyss

Je connais quand même les commandes principales, donc je ne suis pas un idiot total !:lol::hammer:

Par contre, je n'ai jamais dit que j'avais de passerelle ?!?😐

Maintenant, pour les connections en lo, elles ne sont ouvertes qu'une seule fois, car les 2 blocs sont commentées.
Et mon but est justement de contrôler ce qui rentre ( je bloque tout, et j'ouvre au fur et à mesure ), et tout ce qui sort aussi pour accroître la sécurité de la machine ( on est jamais à l'abri d'un espion, ou d'une cochonnerie diverse )

A+

ps : j'ai dit que j'acceptais les critiques !:lol::lol::hammer: Lâchez vous !:hammer:

abyss

FORWARD c'est pour les paquet qui traversent ta machine : donc une passerelle

edit : ip_conntrack joue sur la connection -> si tu commence la connection elle se poursuit sinon non
donc ton ping est de fait bloqué, ton dhcp et dns marchent (car c'est le poste qui demande au serveur ces parametres en premier jamais l'inverse)

abyss

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

iptables -P OUTPUT DROP
iptables -P INPUT DROP

iptables -A OUTPUT -j LOG
iptables -A INPUT -j LOG

iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

doit couvrir exactement de la meme facon que ton script

edit : les regles nat ne servent qu'avec une passerelle pour rediriger, et mangle c'est pour modifier les paquets (donc tres rare et avec une passerelle aussi)

abyss

# Nous vidons les chaînes :
$IPTABLES -F

# Nous les faisons pointer par défaut sur DROP
$IPTABLES -X

Nous les faisons pointer par défaut sur DROP non -> Nous finissons de nettoyer les regles :-D

abyss

#$IPTABLES -t filter -A INPUT -j QUEUE
#$IPTABLES -t filter -A OUTPUT -j QUEUE

c'est pour rediriger les paquets vers ton espace utilisateur
donc je crois qu'ici il ne sert pas à grand chose, à moins que tu aimes capturer les paquets pour le fun

~dementia

Un message qui n'a rien à voir... : nous avons un masochiste sur le fofo :hammer:
S'il y en a d'autres dévoilez-vous :lol:

marc2006

Je n'ai pas de passerelle, donc forward n'est pas utilisé :-P

Mais le fait de tout laisser passer en sortie, et laisser passer les packets de notre choix ( ouvrir les ports ) ne représente pas de problèmes de sécurités ? Sachant que je suis en DMZ, que j'héberge un serveur HTTP, FTP, téléphonique avec asterisk

A+

abyss

Mais le fait de tout laisser passer en sortie, et laisser passer les packets de notre choix ( ouvrir les ports ) ne représente pas de problèmes de sécurités ?

la sortie ne doit pas poser de problemes

ouvrir des ports visibles de l'exterieur t'expose
tes services sont des failles potentiels
si tu as un 2pc, il est bon de faire des tests (nmap -g 80) de l'exterieur

tu as fais une dmz -> avec un autre pc?

marc2006

la sortie ne doit pas poser de problemes

Et s'il y a des espions, ou des programmes malveillants, car ça doit exister sous linux ?!?:-?

Ouvrir des ports m'expose, mais c'est pour ça que j'ai juste autorisé les connections auxquelles j'initie la connection, par contre pour le serveur apache, et le serveur proftpd, je sais pas comment m'y prendre pour éviter qu'un pirate n'utilise ces ports ouverts !?🙁

Et pour la dmz, ben c'est mon ordi

A+

abyss

je ne vois pas comment attaquer quelqu'un sur sa sortie

la dmz c'est pour créer dans le reseau (avec d'autres pc) un espace non-protégé, ou alors on ne parle pas de la meme chose

marc2006

Non je voulais dire qu'il se peut qu'il y es sur ta machine un programme malveillant, car ça existe sous linux, ou un virus, ou espion ...

Et pour les attaques, je parlais des entrées, comme j'ai un serveur ftp et http, je ne sais pas comment configurer iptables pour ne pas laisser passer les pirates à travers ces ports, seulement les connections au http et au ftp !

Pour la dmz, c'est dans la freebox, sur la page de configuration du routeur, tu peux spécifier l'adresse DMZ, pour démilitariser ! Donc en fait, tout le trafic est redirigé vers ton ordi en dmz ( donc pas besoin d'ouverture de ports )

marc2006

Je ne sais pas comment m'y prendre avec iptables pour lui dire de n'ouvrir les ports 80 ( apache ) et 21 et ports passifs ( proftpd ) que quand la requête est a destination du logiciel correspondant ( donc vers apache et proftpd ) pour éviter qu'un pirate n'utilise ces ports pour me pirater !

Merci

marc2006

Je suis en passé en "normal" sur ma freebox ( toujours en routeur ), mais mon ip n'est plus en dmz, donc j'ai ouvert dans ma console de free, les ports suivants :

Redirections de ports:      
 Port         Protocole          Destination          Port      
 5060           tcp           192.168.0.10           5060
 5060           udp            192.168.0.10          5060
 21             tcp             192.168.0.10         21        
 80             tcp            192.168.0.10          80
 4569           udp            192.168.0.10          4569         
 37202          tcp             192.168.0.10         37202    
 37202          udp              192.168.0.10        37202         
 13115          tcp              192.168.0.10        13115
 50296          udp              192.168.0.10        50296         
 6891           tcp              192.168.0.10        6891
 
 
Redirections de plages de ports:     
Début     Fin     Protocole     Destination
16380   16400   udp             192.168.0.10
16401   16411   tcp             192.168.0.10

voici le nouveau iptables.conf ( à modifier si besoin ) :

#!/bin/sh
echo "Configuration IPtables"
echo " [IPV4 Debut]"
IPTABLES=/sbin/iptables

echo 0 > /proc/sys/net/ipv4/ip_forward


# Alors la, on va appliquer quelques astuces
# pour empêcher les attaques de type spoofing
# et bloquer les réponses ICMP du firewall,
# comme ça c'est très propre. Attention, le
# fait de bloquer le trafic ICMP sur
# le firewall bloque les pings.

# Je veux pas de spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
  for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  do
    echo 1 > $filtre
  done
fi

# pas de icmp

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

# Nous vidons les chaînes :
$IPTABLES -F

# Nous les faisons pointer par défaut sur DROP 
$IPTABLES -X

# Nous les faisons pointer par défaut sur DROP

$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT DROP

# Nous faisons de même avec toutes les autres tables, 
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes 
# puisque tout est bloqué au niveau "filter"

$IPTABLES -t nat -F
$IPTABLES -t nat -X

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

$IPTABLES -t mangle -F
$IPTABLES -t mangle -X 

$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

########################## FIN des "politiques par défaut"####################


########################## DEBUT des règles de filtrage#######################

# Autorise l'interface locale à dialoguer avec elle-même !
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i lo -j ACCEPT

# Ignore les paquets provenant de l'extérieur avec une adresse non routable sur Internet
$IPTABLES -A INPUT -i eth0 -s 10.0.0.0/8 -j DROP
$IPTABLES -A INPUT -i eth0 -s 172.16.0.0/12 -j DROP
$IPTABLES -A INPUT -i eth0 -s 192.168.0.0/16 -j DROP
$IPTABLES -A INPUT -i eth0 -s 127.0.0.0/8 -j DROP

# Nous considérons que la machine elle même est sûre 
# et que les processus locaux peuvent communiquer entre eux 
# via l'interface locale :

$IPTABLES -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -j ACCEPT

#on accepte tout ce qui sort vers l'exterieur
$IPTABLES -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT

# Toutes les règles qui n'ont pas passé les
# règles du firewall seront refusées ...

$IPTABLES -A FORWARD -j DROP
$IPTABLES -A INPUT -j DROP
$IPTABLES -A OUTPUT -j DROP

# Par curiosite, on peut tracer les demandes de connexions en provenance de l'exterieur
# Traces disponibles dans le fichier /var/log/messages
$IPTABLES -A INPUT -m state --state NEW -j LOG
# Idem pour les demandes faites localement vers l'extérieur (vers, troyan, ...)
$IPTABLES -A OUTPUT -m state --state NEW -j LOG

echo " [IPV4 Termine]"

marc2006

N'y aurait-il pas un moyen pour protéger les ports ouverts des pirates ?

Merci