problème iptables : comment configurer proprement ?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : problème iptables : comment configurer proprement ?

FlamM

comme tarte flambée bien sûr !

j'ai un petit probleme avec iptables pour faire du nat
j'ai récupéré un script qui permet de faire du masquerading tout en étant censé faire un drop de toute tentative de connexion venant de "l'extérieur" qui n'est pas demandé par "l'intérieur"
(pour eviter l'ip spoofing pnotamment)
seulemnt si je l'utilise tel quel j'ai plus rien qui sort non plus (pas moyen d'utiliser le net donc) du coup je suis obligé de mettre les règles par défaut en accept et donc adieu la sécurité.

Si l'un de vous utilise des scripts du meme genre ca serai sympa de m'en envoyer des echantillons afin de pouvoir comparer et corriger ce qui ne va pas sans avoir besoin de me tapper toute la doc d'iptables (j'en ai matériellement pas le temps)

si y en a que ca intéresse je peut poster mon script comme ca ils pourront voirr par eux-mêmes

merci d'avance

Publicité

]mAdMaTt[

TraktoPunk

voila le ptit script simple que j'ai mis sur ma passerelle (inspire du site http://christian.caleca.free.fr/ne [...] ecture.htm)

Code :

mp="/sbin/modprobe"
ipt="/usr/sbin/iptables"
net="192.168.1.0/24"
outif="ppp0"
$mp iptable_nat
$mp iptable_filter
$mp iptable_mangle
$mp ipt_state
$mp ipt_MASQUERADE
# Table Filter (table par défaut).
#---------------------------------
#Vidage des chaînes
$ipt -F
#Destruction des chaînes "personnelles"
$ipt -X
#Stratégie par défaut:
#INPUT et FORWARD sont DROP
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
#OUTPUT est ACCEPT
$ipt -P OUTPUT ACCEPT
# Création d'une chaîne personnelle: "SuiviConnexions"
$ipt -N SuiviConnexions
# Filtrage de suivi dans cette chaîne:
# Seules les nouvelles connexions qui ne viennent pas du Net sont acceptées
# (outif est l'interface sur le Net)
$ipt -A SuiviConnexions -m state --state NEW -i ! $outif -j ACCEPT
# le "!" est l'opérateur logique NOT
# Toutes les connexions établies et relatives sont acceptées
$ipt -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT
# Et les deux chaînes INPUT et FORWARD pointent sur SuiviConnexions
$ipt -A INPUT -j SuiviConnexions
$ipt -A FORWARD -j SuiviConnexions
# Init. des tables NAT et MANGLE:
#--------------------------------
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t mangle -F
$ipt -t mangle -X
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P OUTPUT ACCEPT
# On ouvre le port IDENT
#-----------------------
$ipt -A INPUT -p tcp --dport auth -j ACCEPT
# On ouvre le port 3128 pour le proxy Squid
#------------------------------------------
$ipt -A INPUT -p tcp -d 192.168.1.1 --dport 3128 -j ACCEPT --source $net
# Mise en place du NAT
#---------------------
$ipt -t nat -A POSTROUTING -s $net -o $outif -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
$mp ip_nat_ftp
$mp ip_conntrack_ftp

j'aurai d'ailleurs une ptite question sur ce script pour savoir si la facon dont j'ouvre le port pour l'ident, et le port pour le proxy sont ok ??

FlamM

comme tarte flambée bien sûr !

Merci beaucoup

maintenant ca marche

En fait j'avis le même script mais quand je l'ai recopié j'ai dû oublier les deux lignes pour faire pointer la chaine SuiviConnexion sur les chianes principales.

Du coup ca ne pouvais pas marcher.

a+

FORUM HardWare.fr

Linux et OS Alternatifs

problème iptables : comment configurer proprement ?

Sujets relatifs
Probleme masquerading avec Iptables	probleme serveur email
[Slackware 8] Pleins de question et surtout de problème ...	Probleme de boot sous Red hat 6.1 et Win2k
Probleme Carte Réseaux Sous Linux Caldera !!	Probleme en compilant Geomview
Problème d'authentification Samba bizarre... c'est urgent !!!	[Problème] CD audio sous Mdk 8.1
aide pour "mon script" iptables
Plus de sujets relatifs à : problème iptables : comment configurer proprement ?

Page générée en 0.047 secondes