| ethernal |
t'y arriveras ;)
firawall builder je l'ai jamais essayer, mais tu devrais pourvoir saugegarder tes rules qq part et les lancer non ?
ce qu'il faut bien comprendre pour réaliser son firewall :
- eth0 est connecté au réseau local, eth1 au modem adsl= ppp0
- in et out sont les interfaces.
règles en Input:
internet -> passerelle: in: ppp0; out: -
intranet -> passerelle: in: eth0; out -
règles en output:
passerelle -> intranet: in: - ; out: eth0
passerelle -> internet: in: - ; out: ppp0
règles en forward:
intranet -> internet: in: eth0 ; out: ppp0
internet -> intranet: in: ppp0 ; out: eth0
A propos des chaines :
1.-t mangle prerouting : utilisées pour modifier le Type of Service) sur les paquets entrants.
-t mangle output: idem sur les paquets sortants.
2.-t nat prerouting : les règles de prerouting sont toujours appliquées. En cas de modification de l'adresse de destination (DNAT), le forward est fait ensuite. Attention !! Uniquemenent, le premier paquet d'une connexion est analysé. L'action qui a résulté del'analyse de ce paquet sera appliquée à tout les paquets de cette connexion. On l'utilisera pour l'ipspoofing, les ips non valides, la redirection, mais pas pour les tests de fragmentation des paquets ou d'autres test du genre !
- t nat postrouting: idem pour les paquets sortant (et SNAT).
3.-t filter (input, output, forward): les règles habituelles... + les suivis de connection (-m state --state RELATED,ESTABLISHED,NEW,INVALID) (attention, il faut compter 500ko par connexion suivie !!)
y a des prises de têtes en perspective ;) |
