Comment filtrer le routage Internet par IPTABLES ?

Recherche :

Dernière réponse
Sujet : Comment filtrer le routage Internet par IPTABLES ?
Titalium	Actuellement, je tente de faire tourner le serveur Linux avec mon poste perso au boulot. Je m'explique un peu : Je suis dans un bureau où se trouvent 2 ordinateurs : le mien et celui d'une collègue. Mon poste à une IP en XXX.XXX.XXX.234, celui de ma collègue en XXX.XXX.XXX.233. Nous sommes tout deux connecté sur le même réseau avec un routeur DSL en XXX.XXX.XXX.254. J'ai mis ma passerelle par défaut à XXX.XXX.XXX.254, et celle de ma collègue à XXX.XXX.XXX.234. J'ai activé le routage sur ma machine (via NetConf), et du coup ma collègue passe par mon poste pour aller sur le net (c'est vérifié). J'arrive à bloquer les requêtes lorsqu'elle sont internes (style telnet, ftp), mais dès que je veux stopper le routage par le biais du firewall, les règles semblent inéfficaces puisqu'elle passe toujours sur le net. Par exemple : 'iptables -A INPUT -s XXX.XXX.XXX.233 -p 23 -j DROP' fonctionne 'iptables -A FORWARD -s XXX.XXX.XXX.233 -p tcp -j DROP' n'empêche pas le routage Internet Peut-être que je me plante. Ma version d'iptables est une 1.2.2 sur un noyau 2.4.8 (distribution Mandrake 8.1). Tous les périphériques sont reconnus, etc... Voila, c'est tout ce que je peux dire. En tout cas c'est sympa de m'aider, merci.

Dernière réponse

Sujet : Comment filtrer le routage Internet par IPTABLES ?

Titalium

Actuellement, je tente de faire tourner le serveur Linux avec mon poste perso au boulot. Je m'explique un peu :
Je suis dans un bureau où se trouvent 2 ordinateurs : le mien et celui d'une collègue.

Mon poste à une IP en XXX.XXX.XXX.234, celui de ma collègue en XXX.XXX.XXX.233. Nous sommes tout deux connecté sur le même réseau avec un routeur DSL en XXX.XXX.XXX.254. J'ai mis ma passerelle par défaut à XXX.XXX.XXX.254, et celle de ma collègue à XXX.XXX.XXX.234. J'ai activé le routage sur ma machine (via NetConf), et du coup ma collègue passe par mon poste pour aller sur le net (c'est vérifié).

J'arrive à bloquer les requêtes lorsqu'elle sont internes (style telnet, ftp), mais dès que je veux stopper le routage par le biais du firewall, les règles semblent inéfficaces puisqu'elle passe toujours sur le net.

Par exemple :
'iptables -A INPUT -s XXX.XXX.XXX.233 -p 23 -j DROP' fonctionne
'iptables -A FORWARD -s XXX.XXX.XXX.233 -p tcp -j DROP' n'empêche pas le routage Internet

Peut-être que je me plante. Ma version d'iptables est une 1.2.2 sur un noyau 2.4.8 (distribution Mandrake 8.1). Tous les périphériques sont reconnus, etc...

Voila, c'est tout ce que je peux dire. En tout cas c'est sympa de m'aider, merci.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

Titalium

teagle

Titalium a écrit a écrit :

Je suis dégouté, ça marche pas... il reconnait pas --port comme paramètre. J'ai regardé un peu comment il expliquait ça dans le tutorial de Rusty, mais je trouve pas ce qui ne va pas dans ma config... tout semble ok

C'est quoi ta config actuelle?

Titalium

Je suis dégouté, ça marche pas... il reconnait pas --port comme paramètre. J'ai regardé un peu comment il expliquait ça dans le tutorial de Rusty, mais je trouve pas ce qui ne va pas dans ma config... tout semble ok

Titalium

Merci, pour les conseils, je test ça demain. J'avais pas pensé à mettre --port.

tatanka

Titalium a écrit a écrit :

Soit empêcher d'aller sur le net pour faire du HTTP, soit pour faire du FTP, soit de l'IRC, suivant les demande de mon boss. En fait je veux pouvoir bloquer l'accès Internet à une classe d'IP sans bloquer une autre classe d'IP, sur différentrs protocoles, etc... En fait je veux pouvoir controler tout le transit.

ah ouai, bah si c'est pour bloquer par classe d'ip j'ai pas essayer, donc je te renvoie au howto de rusty :
dans google tu tappe "+howto +netfilter" et tu clique sur le premier lien

sinon, si tu veux bloquer pour tout le lan, tu fais un :
iptables -A FORWARD -p tcp --port http DROP
ou un truc comme ça ...
enfin c'est un piste que je te donne, j'ai pas fait de regle aussi compliquer ,mais faut creser de ce coté là
quoiqu'il en soit, faut que tu regarde le howto (et le man un peu aussi)

[jfdsdjhfuetppo]--Message édité par tatanka--[/jfdsdjhfuetppo]

Titalium

Soit empêcher d'aller sur le net pour faire du HTTP, soit pour faire du FTP, soit de l'IRC, suivant les demande de mon boss. En fait je veux pouvoir bloquer l'accès Internet à une classe d'IP sans bloquer une autre classe d'IP, sur différentrs protocoles, etc... En fait je veux pouvoir controler tout le transit.

tatanka

Titalium a écrit a écrit :

Je suis en train d'essayer de monter un serveur de sécurité sur un LAN, et voila le problème : j'ai tout bon pour les règles de filtrage tant que c'est de l'accès direct sur le LAN, mes règles fonctionnent.

Par contre, je n'arrive pas à bloquer les accès Internet des machines; alors que la machine route le net. J'ai essayé en mettant des règles INPUT, OUTPUT ou FORWARD, mais rien n'y fait, je ne dois pas m'y prendre correctement.

Quelqu'un pourrait-il m'aider ? Merci d'avance...

tu veux empecher quoi ? qu'une maxhine de ton lan se connecte à internet avec le protocole http ? tu veux qu'elles ne se connecte pas du tout au net ?

Titalium

Je suis en train d'essayer de monter un serveur de sécurité sur un LAN, et voila le problème : j'ai tout bon pour les règles de filtrage tant que c'est de l'accès direct sur le LAN, mes règles fonctionnent.

Par contre, je n'arrive pas à bloquer les accès Internet des machines; alors que la machine route le net. J'ai essayé en mettant des règles INPUT, OUTPUT ou FORWARD, mais rien n'y fait, je ne dois pas m'y prendre correctement.

Quelqu'un pourrait-il m'aider ? Merci d'avance...