Voila j'ai actuelement partager ma connection avec iptable et fait quelque redirection sans trop m'y plonger dedans
Je suis tomber sur un site qui expliquer assez bien iptable http://christian.caleca.free.fr/netfilter/ ( certe je pense qu'il y a mieux )
Et maintenant je voudrai faire donc un script qui:
-Bloque toute les connection venant d'internet
-Laisse passé les connection entrante que depuis certaine ip pour ssh
-Autorisé le port 80 ( apache )
-Laisse sortir les connection vers internet depuis mon reseau ( ou en fonction des plage ip )
-Redirectionner quelque port.
 
Donc je commence si vous avez des supposition suplementaire ( gestion differente par rapport a la dmz et au rezo local )
 

A vous

ajoute des règles pour permettre à l'interface loopback (lo)de communiquer.
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT

http://freshmeat.net/projects/ipta [...] pic_id=151

up

si quelqu'un sais a quoi ca sert ca =>
 
# Check source address validity on packets going out to internet
iptables -A FORWARD -s ! $PRIVATE -i eth1 -j DROP
 
et si c'est vraiment utilé dans notre cas ...

C'est pour droper les paquets ayant une adresse sourve réservée au réseau privé. J'ai oublié le numéro de la RFC.
c'est les adresses 192.168.0.0/16, 10.0.0.0/8, etc...
 
Edit: du moins je le suppose vu que tu n'as pas dit ce qu'il y avait dans la variable $PRIVATE

ah oué je voi mais bon pourquoi pas mais en general un vpn est assez sure quoi que ...

Hmm on pourrai aussi faire une ligne pour verifier les adresse venant du vpn sont bien des adresse local de mon reseau...

Ca permet entre autres de ne pas polluer, et d'éviter certaines attaques

oui ou si l'autre n'est pas securisé ca evite que moi je le soi a mon tour
faut esseyer de faire

Ca doit donner un truc genre ca jpense =>
 
### Verifie les adresse ip Venant du vpn ###
$IPT -A INPUT -s ! $PRIVATE -i $VPN -j DROP
$IPT -A FOWARD -s ! $PRIVATE -i $VPN -j DROP

Faudrait peut être que tu décrives quelque part ton architecture si tu veux des réponses cohérentes...

ensuite évite d'utiliser des variables qui ne sont pas définies : $LOOP

ué aussi  
Bah perso
 
192.168.1.xxx                192.168.0.xxx
  Win Xp|                       |Win XP
[Debian]|--Internet--[Routeur]--|[Debian]
10.4.0.1                         10.4.0.2  
 
Mais faut que chacun puisse l'adapter

Dans ton archi VPN, est-ce que ton firewall est la seule machine chez toi ? Sinon ce n'est pas INPUT et OUTPUT qu'il faut utilser mais plutot FORWARD.

bah perso
Ma machine debian et relier directement a la freebox contrairement a mon ami
et derriere ya des machine sous win xp
donc a mon avis il faut les deux INPUT et FOWARD ( pour mon serv et pour les clients )

Oui, ma remarque s'appliquait surtout à ta dernière règle

oué j'y avais pas penser sinon ca regle que pour le serveur debian et ca filtre pas pour le reste du reseau jpense

J'ai une petite question.
 
Quand on met /8 /16, ça permet de selectionner un range d'ips mais à quoi correspond le 8 ?
 
Est ce que 10.0.0.0/8 selectionne les adresses 10.x.y.z ?
 
Dans ce cas, je pense ne pas faire d'erreur avec 10.0.0.0/24 qui donne 10.0.0.x .
 
J'ai bon ?

oui, en fait ca sélectionne le nombre de bits à partir de la gauche.

cool, merci

moi j'ai une question j'ai vu des option avec mangle ca sert a quoi ?

modifier les paquets
man iptables

# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

J'ai trouver un bon "man" en francais  
http://lea-linux.org/reseau/secu/iptables.html

Ah oué pour les logs aussi si qq sais en faire des "Standard"

pour les paquets acceptés

Oué mais bon faut pas avoir 1000 log non plus sinon ca va prendre pas mal de place
 
### Log des paquet refused ###
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP  
 
c'est a la fin

Ah mon avis j'ai oublier le foward du VPN

Bad argument `DROP'
Try `iptables -h' or 'iptables --help' for more information.
Oops jsais pas d'ou ca vien

j'ai merder quelque part la
il me blok ma connection jpe plus surfer vous voyez pas ?

Tu acceptes les connections sortantes (-A OUTPUT -j  ACCEPT) mais tu n'acceptes nul part les paquets appartenant à des connections ESTABLISHED/RELATED.
 
Pense à mettre les balises
[cpp][/cpp]
pour qu'on puisse mettre les références des lignes ) problèmes.

c'est ca qui faut rajouter ?
 
C'est pas du code c plus plus c est pour ca que je les pas mis ^^
 
Edit: Non toujours pareil il me lourde tout mais j'arrive quand meme a me connect au serv samba

Ah ca y es jai du progres ^^
j'ai rajouter ca
$IPT -A FORWARD -i $LOCAL -j ACCEPT
et c'est bon ( au debut j'avais mi -o ca pouvai pas marcher cest sure )
 
mais j'ai encore quelque merde genre les log s'affiche sur l'ecran du pc
je sais qu'il faut changer le log lvl mais cmt ?

Et ? C'est juste pour qu'il y ait les numéros de lignes pour qu on puisse s'y référer. C'est plus facile pour t'aider. C'est toi qui va.
 
Ensuite, c'est plus propre d'utiliser le suivit de connection.
Netfilter est statefull autant l'utiliser au mieux.
 
Edit: et c'est surtout dans ton premier post que ca serait utile, les balises...

oué mais j'sais pas du tout comment ca marche je finalise un peut et je repost le tout et si tu pouvais m'aider a amelioré le tout ( ou sur msn si ta une adresse )
En tout ca merci de ton attention

Bon voila se que j'ai maintenant =>

 
Se qu'il reste a faire :
-regler le log lvl
-faire des truk plus propre a certain endroit avec les  ESTABLISHED,RELATED
 
Voila voila je sens que je touche au but ^^
 
Edit: Ah oué j'oublier ca  
[root@Speed-ReZo] (~) #ping free.fr
ping: unknown host free.fr

il faut aussi ouvre le port 53 en TCP et UDP pour le DNS

ok
j'ai une autre couille aussi
May 24 19:30:14 Speed-ReZo kernel: [IPTABLES DROP]  : IN= OUT=eth1 SRC=81.56.84.188 DST=194.242.113.47 LEN=71 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=56397 DPT=53 LEN=33
pourquoi il me le lourde ?

heu à quoi correspond SP$ ?
normalement il doit te retourner le numéro de port source et destination