Salut à tous,
 
Je me suis pas mal documenté sur Netfilter et je commence à y voir un peu plus clair.
N'arrivant pas à mettre en place un pare-feu sur ma passerelle internet, j'ai tout essayé...(sauf la bonne solution visiblement   ).
 
*** Ma configuration ***
Je suis sous Debian Sarge / Iptables 1.3.3
1 réseau LAN 192.168.0.0/255.255.255.0 avec pour passerelle vers internet 192.168.1.1(qui possède donc un second interface réseau  d'adresse celle fournie par le FAI).
Mes interfaces réseaux sont les suivants:
  eth0 -> Internet
  eth1 -> LAN
****************************
 
Le problème est très/trop simple:
Si j'ajoute la règle suivante:
mamachine:# /sbin/iptables -A INPUT --in-interface eth0 -j DROP
plus rien ne devrait rentrer par mon interface réseau connectée à internet...pourtant ce n'est nullement le cas puisqu'un  
mamachine:# nmap -sS <mon addresse publique>
affiche une liste d'une vingtaine de ports ouverts dont des services que je ne veux surtout pas accessible par le net, samba par exemple.... c'est plutôt facheux comme situation car je me sens vraiment à découvert  
 
Je ne sais vraiment plus quoi tenter et je ne vois vraiment pas ce que j'ai mal fait...peut-être pourrez-vous m'éclairer...?
 
Merci à tous ceux qui essaieront en tout cas  
 

iptables -P INPUT DROP
iptables -P OUTPUT DROP
ca va definir une politique restrictive par defaut et ensuite tu autorise ce que tu veux.
Enfin c'est pas tout non plus, il faut faire la meme chose pour les autres tables et chaines.

met tout ca dans un fichier ou fait voir ton fichier de conf si tu l a deja creer

J'ai oublier de préciser: c'est justement ces mêmes politiques restrictives qui sont en application, c'est à n'y rien comprendre    
 

Tu as raison, c'est par là que j'aurai dû commencer.
Mon fichier de conf est en fait un script tout beau tout propre que j'avais écrit avec amour   avant de m'apercevoir que rien ne marchait..  
 
Pour simplifier ce script, il suffit que je tape 2 commandes et j'aboutis au même résultat/déception:
 
Avec des politiques permissives PARTOUT dans la table filter, si je tape:
# /sbin/iptables -A INPUT --in-interface eth1 -j ACCEPT
# /sbin/iptables -P INPUT DROP
 
alors, si j'ai bien compris, je devrais pouvoir faire tout ce que je veux sur le serveur à partir de mon LAN (eth1) et ne rien faire du tout à partir d'INTERNET(eth0) pourtant ces deux commandes ne changent absolument rien et un scan de l'une ou l'autre des adresses IP des deux interfaces affiche rigoureusement la même chose c'est à dire une vingtaine de services que l'on ne veut surtout pas accessibles via INTERNET  
 
P.S.: Attention à l'ordre dans lequel on tape ces commandes, surtout si on accède via ssh ( heureusement que le serveur n'est qu'à quelques mètres dans mon placard   )
 
Merci pour vos réponses ++

J ai pas tout compris a ton probleme mais deja avec ce bout de code tu doit pouvoir scanner ta passerelle cote LAN et ne rien avoir cote eth0
 
 

 
sinon
 

 
si tu scannes ta machine depuis ton LAN que ce soit avec le nom de ton domaine ou ton adresse ip tu scannes l interface eth1 de ton reseau, si tu veut scanner ton interface internet il faut le faire depuis l exterieur sur un site genre: http://www.grc.com/default.htm (clique sur shields up apres) sinon je peut te scanner si tu veut  (je suis loin d etre un hackerz)

Mais je ne doute pas un seul instants de ta noble intention   !
En tout cas, tu as trouvé la raison de tout ceci ce qui m'aide vraiment!  
Comme tu l'as dit, si je scanne à partir de l'extérieur, j'ai bien les résultats attendus...et donc plus de problème.  
 
Quand j'y réfléchis, c'est tout à fait logique car l'accès à eth0 depuis le LAN ne passe pas par ce dernier, d'où le "..-i eth0 -j DROP" qui semblait ne pas être pris en compte..
Par contre un en remplaçant "-i eth0" par "-d <mon_addresse_ip_pub>", là, effectivement le résultat est le même avec un scan interne ou externe, ce qui me permet de bien faire la différence entre ces deux options.
 
Merci beaucoup de ton aide