IPTABLES / Sécurité

[b0fh]

l'option -P règle la policy pour une chaine, c'est à dire la cible qui sera appliquée si aucune règle ne correspond. Le -o ajoute une condition a une règle, donc la combinaison des deux n'a pas de sens.

Comme le dit gruik, -o ne fonctionne que sur les chaines en sortie (FORWARD, OUTPUT et POSTROUTING) et -i ne fonctionne que sur les chaines en entrée (FORWARD, INPUT et PREROUTING).

Couper le forwarding pour une interface ne fera pas ce que tu veux, le traffic dans une direction sera coupé et tcp ne fonctionnera pas correctement ni dans un sens ni dans l'autre.

Sur ce superbe schema (et sur cette version simplifiée)tu peux voir la position des différentes chaines dans le processus. Les chaines INPUT et OUTPUT ne concernent que le traffic ayant pour source ou pour destination la machine locale; dans ton cas c'est uniquement FORWARD qui te concerne.

Tu veux donc un truc du genre:

Code :

iptables -A FORWARD -m state --state established,related -j ACCEPT  # accepter les connexions déja établies
iptables -A FORWARD -m state --state invalid -j DROP           # après ces deux règles, il ne reste que l'état NEW
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # on accepte les connexions de eth0 vers eth1
iptables -P FORWARD DROP # et on jette tout le reste... y compris ce qui irait vers une 3e interface reliée a internet s'il y en avait une.

Ce qui autorise les connexions de pc1 à pc2 mais pas dans l'autre sens. (après, je ne sais pas si ça correspond à ta définition de "voir")