Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
924 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Configuration d'IPTABLES pour un reseau

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Configuration d'IPTABLES pour un reseau

n°447618
_zic_
Super Twingo Volante
Posté le 02-04-2004 à 08:21:55  profilanswer
 

salut,
voilà j'ai une architecture réseau sous la forme de ce schéma : http://www.ifrance.com/sosordi/rezo.jpg
 
- il faudrai que la DMZ et les postes utilisateurs soit invisible d'internet (sauf pour les connexions deja etablies ou en relation)
 
- seule une ou plusieurs plage d'ip d'utilisateurs on le droit d'acceder au net.
 
j'ai commencé à faire ca dans mon script :
 

Citation :

sh iptablesdefaut
 
DMZUSER="eth0"
INTERNET="eth1"
IPUSERS="172.17.0.1/172.20.255.254"
 
#activation du forwading
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#activation nat ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
 
#activation du ping
iptables -A INPUT -p icmp -j ACCEPT
 
#autorisation de la communication des processus locaux sur l'interface locale (lo)
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
 
#masquage des adresses pour internet
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
 
 
# connexions sortantes
# Je veux pouvoir tout faire sur les connexions sortantes
 
iptables -A FORWARD -i $DMZUSER -o $INTERNET -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o $DMZUSER -i $INTERNET -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
 
# connexions entrantes
# On autorisé les connexions entrantes pour les serveurs de notre machine
# Se réferer à /etc/protocols pour avoir une liste exhaustive
# ftp(21), ssh(22), smtp(25), http(80), https(443), imaps(993)
 
iptables -A FORWARD -o $DMZUSER -p tcp -m multiport --sports 21,22,25,80,443,993 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $DMZUSER -p tcp -m multiport --dports 21,22,25,80,443,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 


 
mais pour #autorisation de transmettre les paquets, je pédale un peu ...
 
merci de votre aide !


Message édité par _zic_ le 07-04-2004 à 14:58:42

---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
mood
Publicité
Posté le 02-04-2004 à 08:21:55  profilanswer
 

n°447693
udok
La racaille des barbus ©clémen
Posté le 02-04-2004 à 11:27:48  profilanswer
 

je pense qu'il serait bon d'inverser ces deux regles :
#postes user inaccessible depuis internet
iptables -A FORWARD -i $INTERNET -o $DMZUSER -j REJECT
 
#sauf pour les connexions etablies
iptables -A FORWARD -i $INTERNET -o $DMZUSER -m state --state ESTABLISHED -j ACCEPT  
 
ou de mettre -I au lieu de -A dans la deuxieme
 
pour #autorisation de transmettre les paquets , je sais pas, ça me semble bon vu d'ici
 
sinon avec quoi tu as fait ton schéma ?


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°449762
_zic_
Super Twingo Volante
Posté le 06-04-2004 à 12:34:53  profilanswer
 

le schéma je l'ai repris de mon sujet donc je peux pas te dire
 


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
n°449769
Gwarm
Posté le 06-04-2004 à 12:45:23  profilanswer
 

Petite question elle a quelle allure ta table de routage ?

n°449772
_zic_
Super Twingo Volante
Posté le 06-04-2004 à 12:47:27  profilanswer
 

la je suis pas sur le pc ou je travail ...
au debut j'ai un script qui vide tt les tables et qui jette tout.


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
n°449864
Gwarm
Posté le 06-04-2004 à 14:07:56  profilanswer
 

_zic_ a écrit :

la je suis pas sur le pc ou je travail ...
au debut j'ai un script qui vide tt les tables et qui jette tout.


 
Ça m'intéresse de voir comment est gérée ta DMZ.

n°449899
jdloic
Posté le 06-04-2004 à 14:31:21  profilanswer
 
n°450523
_zic_
Super Twingo Volante
Posté le 06-04-2004 à 22:18:18  profilanswer
 


 
merci mais je connais deja :(
 
je voulais juste savoir si par rapport a mon schéma et a mon cahier des charges, ce que je fait est une amorce juste ou alors me plante totalement ...


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
n°451092
_zic_
Super Twingo Volante
Posté le 07-04-2004 à 14:38:25  profilanswer
 

voila ma table de routage apres le lancement de mon script

Citation :

[root@routeur zic]# iptables -L -n -v
Chain INPUT (policy DROP 90 packets, 9491 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    88 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 
Chain FORWARD (policy DROP 15 packets, 900 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6  1645 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    7  1241 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0          state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0          multiport sports 21,22,25,80,443,993 state RELATED,ESTABLISHED
    1    60 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0          multiport dports 21,22,25,80,443,993 state NEW,RELATED,ESTABLISHED
 
Chain OUTPUT (policy DROP 2 packets, 320 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    88 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
n°451773
_zic_
Super Twingo Volante
Posté le 08-04-2004 à 08:10:36  profilanswer
 

up merci :(


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
mood
Publicité
Posté le 08-04-2004 à 08:10:36  profilanswer
 

n°453091
Gwarm
Posté le 10-04-2004 à 18:31:53  profilanswer
 

_zic_ a écrit :

voila ma table de routage apres le lancement de mon script

Citation :

[root@routeur zic]# iptables -L -n -v
Chain INPUT (policy DROP 90 packets, 9491 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    88 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
 
Chain FORWARD (policy DROP 15 packets, 900 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6  1645 ACCEPT     tcp  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED
    7  1241 ACCEPT     tcp  --  eth1   eth0    0.0.0.0/0            0.0.0.0/0          state NEW,RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      eth0    0.0.0.0/0            0.0.0.0/0          multiport sports 21,22,25,80,443,993 state RELATED,ESTABLISHED
    1    60 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0          multiport dports 21,22,25,80,443,993 state NEW,RELATED,ESTABLISHED
 
Chain OUTPUT (policy DROP 2 packets, 320 bytes)
 pkts bytes target     prot opt in     out     source               destination
    1    88 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0




C'est plutôt tes tables de filtrages, ce que voulais c'est le résultat de "netstat -nr" :)

n°454816
Gwarm
Posté le 13-04-2004 à 19:43:56  profilanswer
 

C'est bon j'ai compris comment fonctionne "eth0:1"
Je vais me pencher sur ton problème.

n°475487
_zic_
Super Twingo Volante
Posté le 10-05-2004 à 19:06:04  profilanswer
 

merci bcp mais finalement je suis passé par une autre solution :)


---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Configuration d'IPTABLES pour un reseau

 

Sujets relatifs
Pb connexion au réseau localPb de pilotes de cette carte reseau
Configuration du réseau wifi...script pour mappage de lecteur réseau
POP3 inaccessible par réseau - Mandrake 10squid : diverses questions de configuration (ram, cache_dir, etc)
Installation & Configuration: PC Firewall sur systeme Unixreboot du reseau .... intempestif
Pb mdk 9.2 + réseau gigabit 3Com 3c940 
Plus de sujets relatifs à : Configuration d'IPTABLES pour un reseau


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR