bonjour,
je suis très content de ma passerelle qui fait du nat et du firewalling grace à iptables. cependant, l'envoi de mails est fastidieux et échoue souvent dès qu'ils sont gros (i.e. + de 30Ko !).
Voici mon script iptables : il n'y a rien concernant les ports sortnant pour le mail, en connexion sécurisée ou pas. est-ce normal ??
merci
#!/bin/sh
# Script "firewall.sh"
# Fichier contenant les règles de filtrage "iptables"
# Formation Debian GNU/Linux par Alexis de Lattre
# http://www.via.ecp.fr/~alexis/formation-linux/
#ACTIVATION DU FORWARDING
echo 1 > /proc/sys/net/ipv4/ip_forward
# REMISE à ZERO des règles de filtrage
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# DEBUT des règles de FIREWALLING
# DEBUT des politiques par défaut
# Je veux que les connexions entrantes soient bloquées par défaut
# Je veux que les connexions destinées à être forwardées
# soient acceptées par défaut
# Je veux que les connexions sortantes soient acceptées par défaut
# FIN des politiques par défaut
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# J'autorise les connexions TCP entrantes sur les ports 20 et 21
# (pour que mon serveur FTP soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
# J'autorise les connexions TCP entrantes sur le port 22
# (pour que mon serveur SSH soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
# J'autorise les connexions TCP entrantes sur le port 25
# (pour que mon serveur de mail soit joignable de l'extérieur)
#iptables -A INPUT -p tcp --dport 25 -j ACCEPT
# connexion au port 4662 pour E-Mule
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT
# connexion au port 6346 pour Shareaza
iptables -A INPUT -p tcp --dport 6346 -j ACCEPT
iptables -A INPUT -p udp --dport 6346 -j ACCEPT
# J'autorise les connexions TCP et UDP entrantes sur le port 53
# (pour que mon serveur DNS soit joignable de l'extérieur)
#iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#iptables -A INPUT -p udp --dport 53 -j ACCEPT
# J'autorise les connexions TCP entrantes sur le port 80
# (pour que mon serveur HTTP soit joignable de l'extérieur)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
# J'autorise les connexions TCP et UDP entrantes sur le port 139
# mais uniquement sur l'interface "eth0"
# (pour que mon serveur Samba soit joignable depuis mon LAN seulement)
#iptables -A INPUT -p tcp --dport 139 -i eth0 -j ACCEPT
#iptables -A INPUT -p udp --dport 139 -i eth0 -j ACCEPT
# J'autorise les connexions UDP entrantes sur le port 177
# (pour que des clients puissent se connecter à mon système par XDMCP)
#iptables -A INPUT -p udp --dport 177 -j ACCEPT
# J'autorise les connexions TCP entrantes sur le port 6001
# (pour que je puisse me connecter par XDMCP à une machine distante)
#iptables -A INPUT -p tcp --dport 6001 -j ACCEPT
# J'autorise les connexions TCP entrantes sur le port 2401
# (pour permettre l'accès au CVS à des utilisateurs qui n'ont
# pas de compte sur le système via le "pserver" )
#iptables -A INPUT -p tcp --dport 2401 -j ACCEPT
# J'autorise les flux UDP entrants sur le port 1234
# (pour pourvoir reçevoir les flux VideoLAN)
#iptables -A INPUT -p udp --dport 1234 -j ACCEPT
# J'autorise les flux UDP envoyés sur l'adresse multicast 224.2.127.254
# et dont le port destination est 9875 (pour reçevoir les annonces SAP)
#iptables -A INPUT -p udp -d 224.2.127.254 --dport 9875 -j ACCEPT
# J'autorise les flux TCP et UDP entrants nécessaires au fonctionnement
# de GnomeMeeting
#iptables -A INPUT -p tcp --dport 30000:33000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 1720 -j ACCEPT
#iptables -A INPUT -p udp --dport 5000:5006 -j ACCEPT
# J'accepte le protocole ICMP (i.e. le "ping" )
iptables -A INPUT -p icmp -j ACCEPT
# J'accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# La règle par défaut pour la chaine INPUT devient "REJECT"
# (il n'est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
# FIN des règles de FIREWALLING
# DEBUT des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
# Je veux que mon système fasse office de "serveur NAT"
# (Remplaçez "eth0" par votre interface connectée à Internet)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
# FIN des règles pour le PARTAGE DE CONNEXION (i.e. le NAT)
# DEBUT des règles de PORT FORWARDING
# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l'IP est 192.168.0.3 sur son port 80
# (la réponse à la requête sera forwardée au client)
#iptables -t nat -A PREROUTING -p tcp --dport 22 -i ppp0 -j DNAT --to-destination 127.0.0.0:22
#iptables -t nat -A PREROUTING -p tcp --dport 4662 -i ppp0 -j DNAT --to-destination 192.168.0.3:4662
#iptables -t nat -A PREROUTING -p udp --dport 4672 -i ppp0 -j DNAT --to-destination 192.168.0.3:4672
# Je veux profiter tout seul du réseau Shareaza
iptables -t nat -A PREROUTING -p tcp --dport 6346 -i ppp0 -j DNAT --to-destination 192.168.0.2:6346
iptables -t nat -A PREROUTING -p udp --dport 6346 -i ppp0 -j DNAT --to-destination 192.168.0.2:6346
#FIN des règles de PORT FORWARDING
|