lionz | HJ a écrit :
voila mon script:
#!/bin/sh
# Vidage des chaines
iptables -F
# Destruction des chaines personnelles
iptables -X
# Ignorer toute connexion
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Activation du traffic localhost et eth1 (lan)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT # Connexions etablies et relatives acceptees
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Activation DHCP
iptables -A INPUT -i eth0 --protocol udp --source-port 67 -j ACCEPT -m state --state NEW
iptables -A INPUT -i eth0 --protocol udp --source-port 68 -j ACCEPT -m state --state NEW
# Activation DNS
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT # Activation SSH
iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
# Activation Server FTP
iptables -A INPUT --protocol tcp --destination-port 21 -j ACCEPT
iptables -A INPUT --protocol tcp --destination-port 20 -j ACCEPT
# Activation Server Web
iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
# Activation smtp (25)
iptables -A INPUT --protocol tcp --destination-port 25 -j ACCEPT
# Activation de l'IP Forwarding
iptables -F FORWARD
iptables -A FORWARD -j ACCEPT iptables -A POSTROUTING -t nat -o eth0 -s 192.168.0.0/24 -j MASQUERADE
#--end
|
(mon linux étant la gateway: eth0 = net ; eth1 = lan ; lo = localhost)
Seulement j'ai un pb, tout marche a partir de mes PCs sur le lan (ping, net, icq, irc, ftp etc) vers le net. pas de pb
Mais je peux rien faire du linux meme (pas de ping vers le net, pas de surf, c'est comme s'il pouvait pas sortir sur le net), et ça m'ennuis.
(si je désactive le script iptable ça remarche évidament)
si kk1 voit..... merci à vous
|
pour sela tu met ta chaine OUTPUT en ACCEPT (c'est pas necessaire de l'avoir en drop vu que t'as INPUT en DROP) et tu acceptes, en entrée, les reponses aux requetes sortantes etablies grace a ca :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
et comme ca tu peux pinger, surfer etc. évidement cette méthode entraine l'obligation de mettre l'OUPUT en ACCEPT. mais bon, faut pas oublier qu'on est pas la NASA hein l'input en drop suffit largement.
Pour résumer
1° iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
on laisse tout sortir, mais vu qu'on laisse rien entrer, pas de soucis. on laisse donc sortir les requetes (pings, urls etc.)
2° iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
on laisse entrer toute les connections établies, et donc qui on été demandées par nous meme (pings, urls etc.) Message édité par lionz le 29-12-2002 à 21:18:24
|