Salut,
J'ai un petit probleme avec iptables.
 
Voila ton d'abord mon script, ce n'est que le debut mais ya deja un probleme
 
#Interdiction de tout le traffic en local/externe sur toutes interfaces
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#Autorisation de tout le traffic local sur toutes interfaces
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
#Autorisation requetes DNS
iptables -A INPUT -p udp -i ppp0 --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -o ppp0 --dport 53 -j ACCEPT
 
#Autorisation du surf
iptables -A INPUT -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
 
#Autorisation serveur HTTP
iptables -A INPUT -p tcp -i ppp0 --sport 1024:65335 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --dport 1024:65535 --sport 80 -j ACCEPT
 
#Partage de connexion
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
 
 
Donc la machine connecte a internet peut uniquement surfer, par contre les machines lam peuvent faire du ftp, du mirc, du cs ...  
Alors qu'elles ne devraient que pouvoir surfer ... Ya un truc qui va pas quelque part ...
 
Si quelqu'un pouvait m'aider
 
Merci.

le FORWARD est en ACCEPT donc le LAN peut tout faire. Fais les mêmes règles que sur IN/OUTPUT sur le FORWARD et tu auras ce que tu veux

Ok merci, je vois ca.

J'ai un autre souci.
Pour autoriser le lan a utiliser pop et smtp j'utilise ca comme regle :
 
iptables -A FORWARD -p tcp -i ppp0 --sport 110 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 110 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 25 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 25 --sport 1024:65535 -j ACCEPT
 
C'est correct ? En tout cas ca fonctionne, mais ya peut etre plus optimise ?

Oui, smtp c'est pour le courrier entrant et l'autre pour le sortant de ton réseau. Donc, tu n'est po obligé d'autoriser le dport et le sport sur les deux..
 
Du moins il me semble, et en plus je sais plus si c'est bien ça (smpt pour recevoir et pop pour envoyer   ).
 
Sinon, c'est bien.
 
Le passant.

 
c l'inverse

Ok merci.
Mais par ex pour le surf et le ftp j'ai l'impression de mettre des trucs en double ...
 
iptables -A FORWARD -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 443 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 443 --sport 1024:65535 -j ACCEPT
 
iptables -A FORWARD -p tcp -i ppp0 --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 21 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 20 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT
 
Pourtant su chaque port, ya un -i et -o. Et si j'enelve une des deux regles ca fonctionne plus ...
 
Euh, j'ai bon    ??