Règle iptable INPUT Le sujet est résolu

[msd67]

- Imaginons que mon appli s'occupe en interne de router ce qui arrive à l'adresse machine_ip_externe:14008 vers localhost:14008 (hypothèse)

Ce serait donc une sorte de relais de port, comme ssh avec l'option -L ou -R ?

Je crois pas je me suis mal exprimé à moins que tu aies décodé :
en fait IP externe c'est la Box quoi. Elle envoie sur 192.168.1.200:14008 (ma machine). Mais j'y accède dans le navigateur à l'adresse 127.0.0.1:14008.

j'ai donc rien à faire puisque localhost est ouvert de toutes manières ?

La connexion avec localhost est déjà autorisée, mais il faudra autoriser les paquets de la connexion originelle.

Alors je ne vois pas bien comment faire. En outre, il faut effectivement que dans le champ/formulaire de recherche visible sur 127.0.0.1:14008
je puisse donc envoyé une requête, qui repart dans l'autre sens. D'où ta remarque suivante -> :

il faut aussi que j'ouvre dans la chaîne OUTPUT ?

Seulement pour les connexions sortantes vers l'extérieur, et plutôt dans la chaîne WAN_output.

... J'ai le sentiment qu'en l'état je ne dois pas m'occuper de modifier les chaînes WAN_ ... vu que de toute façon l'origine des paquets n'est pas visible
dans ma barre d'adresse du navigateur ... Exact ? Ou alors oui, disons que l'origine c'est localhost , mais devoir autoriser moi même à communiquer avec
moi-même, ça serait un comble

[msd67]

Salut,
Je regarderais demain si tu n'as pas avancé (pas le temps ce soir).
Il suffit d'autoriser (INPUT) les 4 ou 5 ports (tcp ?) Dont tu as besoin.
A priori rien à faire sur les règles OUTPUT.

Hello lol, oui ça serait sympa, quand tu as 5 minutes et oui seulement tcp pour les 4 ports en exemples svp.
Un instant, je précise un truc. Non, plus tard, quand j'aurai vu, compris, j'affinerai ma question , sinon ça va embrouiller.

[lol]

Hello,

Je me pose une question. Pourquoi des règles WAN alors que tu sembles être dans un LAN ?
Ta machine n'est pas connectée à Internet directement physiquement ? Elle est derrière une Box ?
J'ai le sentiment que tu utilise des règles bien contraignantes alors que tu n'es pas exposé...

Bref...

J'ajouterais ceci

Code : Tout sélectionner

-A WAN_input -p tcp --dport 12005 -j ACCEPT
-A WAN_input -p tcp --dport 13006 -j ACCEPT
-A WAN_input -p tcp --dport 14008 -j ACCEPT
-A WAN_input -p tcp --dport 15009 -j ACCEPT

à

Code : Tout sélectionner

/etc/iptables/rules.v4

entre -A WAN_input -j SSHet -N WAN_output

[msd67]

Merci lol,
tes réponses me semblent limpides, exactement ce dont je rêvais. Et tes questions tout à fait pertinentes, je me dois d'y répondre

En effet, pas de WAN . Je m'étais dit que ma config matérielle pourrait éventuellement évoluer un de ces jours, et que même si ses règles
semblaient inappropriées chez moi à l'instant T, au moins elles seraient déjà en place des fois que ... (Aussi, un peu peur de supprimer des règles
dont je mesurais mal la cohérence ou les répercussions sur l'ensemble). J'avoue, toutes ces règles dépassent de loin ma compréhension réseau
et l'excellent auteur du tuto cité en début de post n'avait pas toute disponibilité pour me dispenser des cours particuliers de rattrapage.
Oui donc derrière une box...
Alors box ou pas box, en l'état, tu confirmeras que je fais comme tu as dit, je suppose. Tu vois j'avais oublier qu'on devait préférer écrire proprement
dans rules.v4 plutôt que d'essayer d'insérer à la volée, rhalala.
Thanks.

[lol]

Salut,

Ravi d'avoir pu aider, vraiment.

J'ai pris pour habitude (Bonne ou mauvaise, c'est très discutable évidemment ) de ne pas mettre de pare-feu sur les machines de mon LAN.
La passerelle fait office de pare-feu et ne laisse passer que le trafic légitime et autorisé.
Je regarde régulièrement si ma passerelle distribue des IPs à des machines inconnues (Qui se seraient connectées par un point d'accès Wifi - C'est à mon sens par ces points d'entrée que le risque est le plus grand). Jusqu’à présent ce n'est pas arrivé.

[msd67]

Merci,
je mets en résolu (le titre est d'une "vaguitude" affligeante j'avoue, peut-être que je devrais le changer mais j'ai pas vraiment d'idée, libre à toi ou un collègue d'en préciser l'intitulé. Il se pourrait que je rencontre d'autres petits problèmes liés à ce fil mais ça partirait dans tous les sens,
du coup ici je clos avec satisfaction.

[msd67]

Ha ben vous l'avez déjà fait pour moi, la mise en résolu. Parfait les gars.