Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1639 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Iptables, restreindre l'acces internet pour certains postes

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Iptables, restreindre l'acces internet pour certains postes

n°792143
rclsilver
Posté le 13-03-2006 à 17:06:49  profilanswer
 

Je possède un reseau qui a à peu pres cette tete : http://rclsilver.free.fr/my_network.jpg
 
Donc en gros, tous les pc qui veulent aller sur le net, passent par le routeur. Sur ce routeur, les regles iptables suivantes sont définies :  

Code :
  1. #!/bin/bash
  3. . /lib/lsb/init-functions
  5. case $1 in
  6. start)
  7.  log_begin_msg "Configuring Iptables..."
  8.  # Initialisation...
  9.  /sbin/iptables -F && \
  10.  /sbin/iptables -X && \
  11.  /sbin/iptables -P INPUT DROP && \
  12.  /sbin/iptables -P OUTPUT DROP && \
  13.  /sbin/iptables -P FORWARD DROP && \
  14.  /sbin/iptables -t nat -F && \
  15.  /sbin/iptables -t nat -X && \
  16.  /sbin/iptables -t nat -P PREROUTING ACCEPT && \
  17.  /sbin/iptables -t nat -P POSTROUTING ACCEPT && \
  18.  /sbin/iptables -t nat -P OUTPUT ACCEPT && \
  19.  /sbin/iptables -t mangle -F && \
  20.  /sbin/iptables -t mangle -X && \
  21.  /sbin/iptables -t mangle -P PREROUTING ACCEPT && \
  22.  /sbin/iptables -t mangle -P INPUT ACCEPT && \
  23.  /sbin/iptables -t mangle -P OUTPUT ACCEPT && \
  24.  /sbin/iptables -t mangle -P FORWARD ACCEPT && \
  25.  /sbin/iptables -t mangle -P POSTROUTING ACCEPT && \
  27.  # On autorise la boucle locale
  28.  /sbin/iptables -A INPUT -i lo -j ACCEPT && \
  29.  /sbin/iptables -A OUTPUT -o lo -j ACCEPT && \
  31.  # On autorise le LAN
  32.  /sbin/iptables -A INPUT -i eth1 -j ACCEPT && \
  33.  /sbin/iptables -A OUTPUT -o eth1 -j ACCEPT && \
  35.  # Définition des regles de sécurité...
  36.  /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j MASQUERADE && \
  37.  /sbin/iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
  38.  /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
  39.  /sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
  41.  # Définition des regles entre la passerelle et la Freebox
  42.  /sbin/iptables -A INPUT -i eth0 -s 192.168.0.1 -j ACCEPT && \
  43.  /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT && \
  44.  /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
  46.  # Ecoute de certains ports
  47.  /sbin/iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT && \
  48.  /sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT && \
  50.  # Routage des ports écoutés
  51.  /sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.3:80 && \
  52.  /sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.3:22 \
  54.  &> /dev/null
  55.  log_end_msg $?
  56.  ;;
  58. stop)
  59.  log_begin_msg "Flushing Iptables..."
  60.                 /sbin/iptables -F && \
  61.                 /sbin/iptables -X \
  62.  &> /dev/null
  63.  log_end_msg $?
  64.  ;;
  66. restart)
  67.  $0 stop
  68.  $0 start
  69.  ;;
  70. *)
  71.  log_success_msg "Usage: {start|stop|restart}"
  72.  exit 1
  73. esac
  75. exit 0


 
Je voudrais savoir, comment restreindre l'acces a internet pour certains pc sur certains ports ? par exemple... 192.168.1.4 ne pourrait aller que sur les site web (donc sortir sur le port 80) ? ou alors.. 192.168.1.6 ne pourrait pas utiliser ftp (port 21). merci d'avance..
 
PS: Est ce que l'ordre des regles iptables sont importantes ? merci


Message édité par rclsilver le 13-03-2006 à 17:17:14
mood
Publicité
Posté le 13-03-2006 à 17:06:49  profilanswer
 

n°792585
pladen
Posté le 15-03-2006 à 09:32:40  profilanswer
 

Bonjour,
 
Oui l'ordre est très important.
Dans votre cas la chaine qui vous intéresse est la chaine FORWARD.
 
#/sbin/iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
#/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
#/sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
 
Déja, vous acceptez les nouvelles connexions dans les deux sens. Cela veut dire qu'une connexion entrante venant d'internet sera transmise. Il y a le nat a faire mais votre firewall perd beaucoup d'utilité ici.
 
Avant ces règles vous pouvez choisir de refuser certains flux. Par exemple pour rejeter les tentatives de connexions au port 21 émises par votre machine 1.6 :
#/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 21 -s 192.168.1.6 -j REJECT && \
 
Ensuite vous pouvez changer la règle d'acceptation pour n'autoriser que les machines listées :
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.1.4 -j ACCEPT && \
 
Evidemment il faudra supprimer votre règle qui accepte tout.
 
Vous devriez envisager d'utiliser shorewall pour faire vos règles, c'est plus rapide et fiable.
 
Pierre


---------------
-- Acipia -- www.acipia.fr --

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Iptables, restreindre l'acces internet pour certains postes

 

Sujets relatifs
accès au /monserveur/~user/[Debian / IPTables] Création du script ?
Graphique -- Utilisation bande passante internetInternet sur des terminaux passifs AS400
Point d'accès Wi-Fi qui a plus d'adressemigrer base accés sous open office
internet un peu moins reactif sous linux[WiFi] Point d'accès 3com 3C905B + Kit AP SMC (WDS)
Options Squid et IPtables intéressantes pour une entrepriseprobleme connexion internet mandriva 2006
Plus de sujets relatifs à : Iptables, restreindre l'acces internet pour certains postes

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.053 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR