problème iptables : comment configurer proprement ?

Recherche :

Dernière réponse
Sujet : problème iptables : comment configurer proprement ?
FlamM	Merci beaucoup maintenant ca marche En fait j'avis le même script mais quand je l'ai recopié j'ai dû oublier les deux lignes pour faire pointer la chaine SuiviConnexion sur les chianes principales. Du coup ca ne pouvais pas marcher. a+

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

FlamM

Merci beaucoup

maintenant ca marche

En fait j'avis le même script mais quand je l'ai recopié j'ai dû oublier les deux lignes pour faire pointer la chaine SuiviConnexion sur les chianes principales.

Du coup ca ne pouvais pas marcher.

a+

]mAdMaTt[

voila le ptit script simple que j'ai mis sur ma passerelle (inspire du site http://christian.caleca.free.fr/ne [...] ecture.htm)

Code :

mp="/sbin/modprobe"
ipt="/usr/sbin/iptables"
net="192.168.1.0/24"
outif="ppp0"
$mp iptable_nat
$mp iptable_filter
$mp iptable_mangle
$mp ipt_state
$mp ipt_MASQUERADE
# Table Filter (table par défaut).
#---------------------------------
#Vidage des chaînes
$ipt -F
#Destruction des chaînes "personnelles"
$ipt -X
#Stratégie par défaut:
#INPUT et FORWARD sont DROP
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
#OUTPUT est ACCEPT
$ipt -P OUTPUT ACCEPT
# Création d'une chaîne personnelle: "SuiviConnexions"
$ipt -N SuiviConnexions
# Filtrage de suivi dans cette chaîne:
# Seules les nouvelles connexions qui ne viennent pas du Net sont acceptées
# (outif est l'interface sur le Net)
$ipt -A SuiviConnexions -m state --state NEW -i ! $outif -j ACCEPT
# le "!" est l'opérateur logique NOT
# Toutes les connexions établies et relatives sont acceptées
$ipt -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT
# Et les deux chaînes INPUT et FORWARD pointent sur SuiviConnexions
$ipt -A INPUT -j SuiviConnexions
$ipt -A FORWARD -j SuiviConnexions
# Init. des tables NAT et MANGLE:
#--------------------------------
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
$ipt -t mangle -F
$ipt -t mangle -X
$ipt -t mangle -P PREROUTING ACCEPT
$ipt -t mangle -P OUTPUT ACCEPT
# On ouvre le port IDENT
#-----------------------
$ipt -A INPUT -p tcp --dport auth -j ACCEPT
# On ouvre le port 3128 pour le proxy Squid
#------------------------------------------
$ipt -A INPUT -p tcp -d 192.168.1.1 --dport 3128 -j ACCEPT --source $net
# Mise en place du NAT
#---------------------
$ipt -t nat -A POSTROUTING -s $net -o $outif -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
$mp ip_nat_ftp
$mp ip_conntrack_ftp

j'aurai d'ailleurs une ptite question sur ce script pour savoir si la facon dont j'ouvre le port pour l'ident, et le port pour le proxy sont ok ??

FlamM

j'ai un petit probleme avec iptables pour faire du nat
j'ai récupéré un script qui permet de faire du masquerading tout en étant censé faire un drop de toute tentative de connexion venant de "l'extérieur" qui n'est pas demandé par "l'intérieur"
(pour eviter l'ip spoofing pnotamment)
seulemnt si je l'utilise tel quel j'ai plus rien qui sort non plus (pas moyen d'utiliser le net donc) du coup je suis obligé de mettre les règles par défaut en accept et donc adieu la sécurité.

Si l'un de vous utilise des scripts du meme genre ca serai sympa de m'en envoyer des echantillons afin de pouvoir comparer et corriger ce qui ne va pas sans avoir besoin de me tapper toute la doc d'iptables (j'en ai matériellement pas le temps)

si y en a que ca intéresse je peut poster mon script comme ca ils pourront voirr par eux-mêmes

merci d'avance ;)