oui, c'est possible sans problème.
Désolé, mais faire un script complet pour toi, c'est pas faisable, après, un autre va en demander un, puis un autre, et qq passera son temps à faire des scripts iptables... (j'espère que tu me comprends)
Sinon, pour les conseils, va voir sur http://www.linuxguruz.org/iptables/ .
J'y ai pris le script http://www.linuxguruz.org/iptables [...] ll_004.txt qui est une bonne base et l'ai modifié pour ma conso personelle.
Si tu le veux...
Le schéma (presque complet, il manque juste la chaine -t nat output)issu de http://www.knowplace.org/netfilter/syntax.html pourra certainement t'aider dans ta compréhension.
Sinon, faits bien attention à avoir les
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP # pas indispensable à toi de voir si tu veux empêcher l'accès de ton réseau à certains services sur le web.
La table -t nat ne tient compte que du paquet de données de la première connection. La règle appliquée pour ce premier paquet sera appliquée à tous les autres paquets de cette connection. C'est donc utile pour le bloquage du spoofing, des adresses de classes A,B,C,D et réservée entrant sur ton réseau. Ne pas l'utiliser pour les problèmes de fragmentation, ...
N'accèpte pas de connection, provenant d'internet sur ta paserelle et encore moins sur ton réseau, sur les port < 1023] si tu n'as pas de serveur!!
Je vois que tu veux autoriser les ports 21,22,3306 entre autre... Réfléchis à ce que tu veux faire. Veux-tu les rendre accessible à ton réseau ou à internet ? La différence est grande ;-)
Si tu as des questions plus précise je suis à ta disposition.
Site de netfilter : http://netfilter.filewatcher.org/
[edtdd]--Message édité par ethernal--[/edtdd]
alors je continue...
