Conversation
precedente ou
suivante
Pb avec IPTABLE
Envoyé par:
DAMIEN
Bonjour ,
Alors tout d'abord mon system linux tourne sous la distribution debian .
Mon pb est le suivant :
J'ai 3 Pc qui doivent avoir un acces a un seul site sur le net. tout le reste doit etre bloquer.
Les ip de ces machines sont 192.168.0.63 , 192.168.0.64 , 192.168.0.65
et doivent acceder uniquement au site 195.220.59.129
Voici mes regles entiere de mon reseaux :
# Generated by iptables-save v1.2.9 on Mon Feb 9 10:48:37 2004
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [3048885:1463934082]
:OUTPUT ACCEPT [54721:4622070]
[754129:131998636] -A INPUT -i ! eth0 -j ACCEPT
[55181:49922922] -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[15:756] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[427:25872] -A INPUT -p tcp -j REJECT --reject-with tcp-reset
[588:192597] -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 137:139 -j REJECT --reject-with tcp-reset
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 137:139 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 67:68 -j REJECT --reject-with tcp-reset
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j REJECT --reject-with icmp-port-unreachable
# les regles pour bloquer :
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.63 -j ACCEPT
[418:85566] -A OUTPUT -s 0.0.0.0 -d 192.168.0.63 -j DROP
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.64 -j ACCEPT
[423:74232] -A OUTPUT -s 0.0.0.0 -d 192.168.0.64 -j DROP
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.65 -j ACCEPT
[433:94430] -A OUTPUT -s 0.0.0.0 -d 192.168.0.65 -j DROP
[907218:1053205613] -A OUTPUT -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o eth1 -j ACCEPT
[58220:5698504] -A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Feb 9 10:48:37 2004
# Generated by iptables-save v1.2.9 on Mon Feb 9 10:48:37 2004
*nat
REROUTING ACCEPT [193645:11788778]
OSTROUTING ACCEPT [16087:1486060]
:OUTPUT ACCEPT [27271:2210890]
[136251:6809574] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 9 10:48:37 2004
Voila si je pouvais avoir un peu d'aide. merci d'avance
Alors tout d'abord mon system linux tourne sous la distribution debian .
Mon pb est le suivant :
J'ai 3 Pc qui doivent avoir un acces a un seul site sur le net. tout le reste doit etre bloquer.
Les ip de ces machines sont 192.168.0.63 , 192.168.0.64 , 192.168.0.65
et doivent acceder uniquement au site 195.220.59.129
Voici mes regles entiere de mon reseaux :
# Generated by iptables-save v1.2.9 on Mon Feb 9 10:48:37 2004
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [3048885:1463934082]
:OUTPUT ACCEPT [54721:4622070]
[754129:131998636] -A INPUT -i ! eth0 -j ACCEPT
[55181:49922922] -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
[15:756] -A INPUT -i eth0 -p tcp -m state --state NEW -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[427:25872] -A INPUT -p tcp -j REJECT --reject-with tcp-reset
[588:192597] -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 137:139 -j REJECT --reject-with tcp-reset
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 137:139 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A OUTPUT -o eth0 -p tcp -m tcp --dport 67:68 -j REJECT --reject-with tcp-reset
[0:0] -A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j REJECT --reject-with icmp-port-unreachable
# les regles pour bloquer :
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.63 -j ACCEPT
[418:85566] -A OUTPUT -s 0.0.0.0 -d 192.168.0.63 -j DROP
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.64 -j ACCEPT
[423:74232] -A OUTPUT -s 0.0.0.0 -d 192.168.0.64 -j DROP
[0:0] -A OUTPUT -s 195.220.59.129 -d 192.168.0.65 -j ACCEPT
[433:94430] -A OUTPUT -s 0.0.0.0 -d 192.168.0.65 -j DROP
[907218:1053205613] -A OUTPUT -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -o eth1 -j ACCEPT
[58220:5698504] -A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Feb 9 10:48:37 2004
# Generated by iptables-save v1.2.9 on Mon Feb 9 10:48:37 2004
*nat
REROUTING ACCEPT [193645:11788778]OSTROUTING ACCEPT [16087:1486060]:OUTPUT ACCEPT [27271:2210890]
[136251:6809574] -A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Feb 9 10:48:37 2004
Voila si je pouvais avoir un peu d'aide. merci d'avance
Poste le Thursday 29 April 2004 14:55:54
Re: Pb avec IPTABLE
Envoyé par:
alveric
Bonne nuit 
Peux-tu préciser un peu plus le contexte, stp ? Comment est ton réseau local, sur quelle(s) machine(s) est lancé ce script, sur quoi est-elle connectée (LAN, directement sur internet...), y a-t-il une passerelle/routeur/serveur sur le réseau qu'il faut prendre en compte... etc. Bref, tout ce qui pourrait aider à donner une réponse adaptée à ton problème.
@plus
Peux-tu préciser un peu plus le contexte, stp ? Comment est ton réseau local, sur quelle(s) machine(s) est lancé ce script, sur quoi est-elle connectée (LAN, directement sur internet...), y a-t-il une passerelle/routeur/serveur sur le réseau qu'il faut prendre en compte... etc. Bref, tout ce qui pourrait aider à donner une réponse adaptée à ton problème.
@plus
Poste le Saturday 1 May 2004 00:22:49
Re: Pb avec IPTABLE
Envoyé par:
Steph10200
#!/bin/sh
IPT=/sbin/iptables
# mettez l'adresse de votre réseau local ci-dessous
LAN='192.168.0.63-192.168.0.65'
LAN_NIC='eth0'
modprobe ip_nat_ftp
modprobe ip_nat_irc
# ---------------------- C o n f i g u r a t i o n ------------------------
# ........
# ----------------------- F i n C o n f i g u r a t i o n ----------------
# ---------------------------- S c r i p t ---------------------------------
#echo 0 > /proc/sys/net/ipv4/ip_forward
# flush
$IPT -t nat -F POSTROUTING
$IPT -t nat -F PREROUTING
$IPT -t nat -F OUTPUT
$IPT -F
$IPT -X
# tables par defaut :
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# regles iptables
$IPT -A OUTPUT -j ACCEPT -o eth0 -d $LAN
$IPT -A INPUT -j ACCEPT -o eth0 -s $LAN
enfin, j'en sais rien, j'ai juste donné un bout de mon script, mais l'explication n'a pas été tres claire.
quel est le probleme ?
IPT=/sbin/iptables
# mettez l'adresse de votre réseau local ci-dessous
LAN='192.168.0.63-192.168.0.65'
LAN_NIC='eth0'
modprobe ip_nat_ftp
modprobe ip_nat_irc
# ---------------------- C o n f i g u r a t i o n ------------------------
# ........
# ----------------------- F i n C o n f i g u r a t i o n ----------------
# ---------------------------- S c r i p t ---------------------------------
#echo 0 > /proc/sys/net/ipv4/ip_forward
# flush
$IPT -t nat -F POSTROUTING
$IPT -t nat -F PREROUTING
$IPT -t nat -F OUTPUT
$IPT -F
$IPT -X
# tables par defaut :
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
# regles iptables
$IPT -A OUTPUT -j ACCEPT -o eth0 -d $LAN
$IPT -A INPUT -j ACCEPT -o eth0 -s $LAN
enfin, j'en sais rien, j'ai juste donné un bout de mon script, mais l'explication n'a pas été tres claire.
quel est le probleme ?
Poste le Saturday 1 May 2004 10:39:50
Ce forum !
Pb avec IPTABLE
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons