J'ai une machine (hors production) où les supporters externes ont un accès shell (non root). Je veux les empêcher d'aller plus loin dans notre réseau à partir de cette machine en utilisant iptables.
L'interface graphique de pare-feu "normale" ne bloque que le trafic entrant. Comment puis-je configurer des règles telles que "accepter tout le trafic entrant (plus la réponse), mais autoriser uniquement le nouveau trafic sortant pour des cibles spécifiques (comme les snmp-traps vers le serveur de surveillance)" ?
Le système d'exploitation est CentOS 5
Réponse acceptée :
Il existe deux façons de supprimer tout le trafic sortant, à l'exception de ce que vous définissez explicitement comme ACCEPT. La première consiste à définir la stratégie par défaut pour que la chaîne OUTPUT soit abandonnée.
iptables -P OUTPUT DROP
L'inconvénient de cette méthode est que lorsque la chaîne est vidée (toutes les règles supprimées), tout le trafic sortant sera supprimé. L'autre façon est de mettre une règle DROP "globale" à la fin de la chaîne.
iptables -A OUTPUT -j DROP
Sans savoir exactement ce dont vous avez besoin, je ne peux pas vous conseiller sur ce qu'il faut accepter. J'utilise personnellement la méthode consistant à mettre une règle DROP par défaut à la fin de la chaîne. Vous devrez peut-être étudier la façon dont votre interface graphique définit les règles, sinon cela pourrait entrer en conflit avec les méthodes CLI traditionnelles de restauration des règles au démarrage (telles que /etc/sysconfig/iptables).