Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3368 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Iptables] script pour passerelle

 
 


Dernière réponse
Sujet : [Iptables] script pour passerelle
Moa_ J'ai supprimé ce que j'ai mis en gras :
# # Acces de la Passerelle a Internet
# echo "+ Regles pour Internet ($WAN_INT - $WAN_IP - $WAN_NWK)"
# iptables -t filter -A OUTPUT -o $WAN_INT -s $WAN_IP -d $WAN_NWK -p all -m state --state ! INVALID         -j ACCEPT
# iptables -t filter -A INPUT  -i $WAN_INT -s $WAN_NWK -d $WAN_IP -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 
et maintenant le pc passerelle a accès à internet ... mais je comprends pas pourquoi, car ce que j'ai supprimé c'est ce qu'il recoit ou envoit sur le réseau où est l'adsl gateway

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Moa_ J'ai supprimé ce que j'ai mis en gras :
# # Acces de la Passerelle a Internet
# echo "+ Regles pour Internet ($WAN_INT - $WAN_IP - $WAN_NWK)"
# iptables -t filter -A OUTPUT -o $WAN_INT -s $WAN_IP -d $WAN_NWK -p all -m state --state ! INVALID         -j ACCEPT
# iptables -t filter -A INPUT  -i $WAN_INT -s $WAN_NWK -d $WAN_IP -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 
et maintenant le pc passerelle a accès à internet ... mais je comprends pas pourquoi, car ce que j'ai supprimé c'est ce qu'il recoit ou envoit sur le réseau où est l'adsl gateway
Moa_ hmmhmmm  :whistle: flute ...
en fait il me sort quelques ports de ce résultat si je fais un nmap depuis internet sur cette ip, et meme pas ceux que j'ai autorisé :/
l0ky tu scan localhost, ie 127.0.0.1, ie ton interface lo


 # Boucle locale
 echo "+ Regles du localhost"
 iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
 iptables -t filter -A INPUT  -i lo -p all -j ACCEPT


Donc c'est normal que tous ces ports soient ouvert [:spamafote]
Moa_ Bonjour,
après avoir lu bon nombre de tuto et docs sur iptables et la sécurité, je suis arrivé à un script adapté à mon config, à savoir :
Internet <-----> ADSL Gateway (modem/switch) <--->  [eth1] PC passerelle [eth0] <-----> réseau
 
ADSL Gateway : 192.168.1.2
eth1 PC : 192.168.1.1
eth0 PC : 192.168.0.1
réseau : adresses en 192.168.0.xxx
 
Voici le script iptables que j'ai lancé dessus:

Code :
  1. #!/bin/bash
  2. ## Regles Iptables ##
  4. # Paramétrage des variables
  5. LAN_INT=eth0  ; # Interface réseau interne
  6. LAN_IP=192.168.0.1 ; # IP interne
  7. LAN_NWK=192.168.0.0/24 ; # Réseau interne
  8. LAN_BDCST=192.168.0.255 ; # Broadcast interne
  10. WAN_INT=eth1  ; # Interface réseau externe
  11. WAN_IP=192.168.1.1 ; # IP externe
  12. WAN_NWK=192.168.1.0/24 ; # Réseau externe
  14. # Init de la table FILTER
  15. echo "+ Initialisation de la table Filter"
  16. iptables -t filter -F
  17. iptables -t filter -X
  18. iptables -t filter -P INPUT DROP
  19. iptables -t filter -P OUTPUT DROP
  20. iptables -t filter -P FORWARD DROP
  22. # Init de la table NAT
  23. echo "+ Initialisation de la table NAT"
  24. iptables -t nat -F
  25. iptables -t nat -X
  26. iptables -t nat -P PREROUTING ACCEPT
  27. iptables -t nat -P POSTROUTING ACCEPT
  28. iptables -t nat -P OUTPUT ACCEPT
  30. # Boucle locale
  31. echo "+ Regles du localhost"
  32. iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
  33. iptables -t filter -A INPUT  -i lo -p all -j ACCEPT
  35. # Boucle reseau local
  36. echo "+ Regles du réseau local ($LAN_INT - $LAN_IP - $LAN_NWK)"
  37. echo "++ Connexion firewall <-> réseau"
  38. iptables -t filter -A OUTPUT -o $LAN_INT -d $LAN_NWK -p all -j ACCEPT
  39. iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -p all -j ACCEPT
  41. echo "++ Connexion firewall <-> broadcast réseau"
  42. iptables -t filter -A OUTPUT -o $LAN_INT -s $LAN_IP -d $LAN_BDCST -p all -j ACCEPT
  43. iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_BDCST -d $LAN_IP -p all -j ACCEPT
  45. # Acces de la Passerelle a Internet
  46. echo "+ Regles pour Internet ($WAN_INT - $WAN_IP - $WAN_NWK)"
  47. iptables -t filter -A OUTPUT -o $WAN_INT -s $WAN_IP -d $WAN_NWK -p all -m state --state ! INVALID      -j ACCEPT
  48. iptables -t filter -A INPUT  -i $WAN_INT -s $WAN_NWK -d $WAN_IP -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  50. # Conntrack
  51. echo "+ Activation du suivi de connexion"
  52. ## toute connexion LAN --> NET acceptees
  53. iptables -t filter -A FORWARD -i $LAN_INT -o $WAN_INT -s $LAN_NWK -d 0.0.0.0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  54. ## connexions etablies ou en relation NET --> LAN acceptees
  55. iptables -t filter -A FORWARD -i $WAN_INT -o $LAN_INT -s 0.0.0.0/0 -d $LAN_NWK -m state --state ESTABLISHED,RELATED -j ACCEPT
  57. # NAT
  58. echo "+ Activation du NAT et IP masquerading"
  59. echo "1" > /proc/sys/net/ipv4/ip_forward
  60. iptables -t nat -A POSTROUTING -o $WAN_INT -s $LAN_NWK -j MASQUERADE
  63. # Services sur la machine locale (FTP, SSH, HTTP)
  64. echo "+ Ouverture des ports des services locaux"
  65. echo "++ FTP"
  66. iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT
  67. iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
  68. echo "++ SSH"
  69. iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
  70. echo "++ HTTP"
  71. iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT


 
Une fois ce script exécuté, les pc du réseau ont accès à internet, mais pas le pc passerelle, alors qu'avant de lancer le script il l'avait.
 
Pour la boucle réseau local j'ai modifié ces lignes :  
iptables -t filter -A OUTPUT -o $LAN_INT -d $LAN_NWK -p all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -p all -j ACCEPT
 
que j'avais initialement écrit :  
iptables -t filter -A OUTPUT -o $LAN_INT -s $LAN_IP -d $LAN_NWK -p all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -d $LAN_IP -p all -j ACCEPT
 
parce que les autres pc du réseau ne pouvaient à pas accéder au pc passerelle (ping et samba)
je vois pas pourquoi ces précisions font que la communication est refusée entre le serveur et les pc du réseau :??: .
 
Autre détail, la "ADSL Gateway" Linksys est administrable par page web, on peut y configurer son IP, fonctions DHCP, VPN, port forwarding, firewall... etc
j'ai désactivé toutes les fonctions qui sont assurées par la passerelle PC.
 
sur le Pc passerelle :

Code :
  1. login$ nmap localhost
  2. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-28 16:54 CEST
  3. Interesting ports on localhost (127.0.0.1):
  4. (The 1656 ports scanned but not shown below are in state: closed)
  5. PORT     STATE SERVICE
  6. 22/tcp   open  ssh
  7. 80/tcp   open  http
  8. 139/tcp  open  netbios-ssn
  9. 443/tcp  open  https
  10. 445/tcp  open  microsoft-ds
  11. 3306/tcp open  mysql
  12. 6000/tcp open  X11
  14. Nmap finished: 1 IP address (1 host up) scanned in 0.284 seconds


 
je ne vois pas pourquoi certains ports sont ouverts alors que je ne les ai pas autorisés  :??:  
 
Puissiez-vous apporter des réponses à mes réponses ... :jap:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)