Conversation
precedente ou
suivante
Firewall simple avec iptables
Envoyé par:
Nebuchadnezzar
Bonjour cher messieurs, mesdames , mespingouins et consors ...
j'ai mis en place un routeur adsl fait maison avec du debian dedans ,pour faire du NAT avec mon peit reseau local ...
Apres avoir mis en place quelques regles pour faire du NAT simple et quelques autres petites regles.
internet <-----ppp0#routeur#eth0------>reseau local 192.168.0.X
POur faire plus simple , voici ce que me donne iptables-save :
routeur:~# iptables-save
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*nat
REROUTING ACCEPT [4715:302314]
OSTROUTING ACCEPT [4:274]
:OUTPUT ACCEPT [384:24622]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*filter
:INPUT DROP [217:10843]
:FORWARD DROP [0:0]
:OUTPUT DROP [381:24716]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*mangle
REROUTING ACCEPT [146553:116032229]
:INPUT ACCEPT [854:86066]
:FORWARD ACCEPT [144869:115901851]
:OUTPUT ACCEPT [651:67804]
OSTROUTING ACCEPT [145139:115944939]
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
et maintenant , voici mes quelques doleances car la je melange un peu tout:
*Pouvoir acceder a internet depuis le routeur (pour les apt-get upgrade par exemple)
*Etre capable de forwarder un port de PPP0 au reseau local(ex du serveur web sur le reseau local devant etre accédé)..
et voila ! merci pour toute reponse/piste/eclairage/critique qui sont toutes les bienvenues !
Les esprits sont comme les parachutes ,
ils marchent bien mieux quand ils sont ouverts !
j'ai mis en place un routeur adsl fait maison avec du debian dedans ,pour faire du NAT avec mon peit reseau local ...
Apres avoir mis en place quelques regles pour faire du NAT simple et quelques autres petites regles.
internet <-----ppp0#routeur#eth0------>reseau local 192.168.0.X
POur faire plus simple , voici ce que me donne iptables-save :
routeur:~# iptables-save
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*nat
REROUTING ACCEPT [4715:302314]
OSTROUTING ACCEPT [4:274]
:OUTPUT ACCEPT [384:24622]
-A POSTROUTING -o ppp0 -j MASQUERADE
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*filter
:INPUT DROP [217:10843]
:FORWARD DROP [0:0]
:OUTPUT DROP [381:24716]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT
-A FORWARD -i eth0 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth0 -j ACCEPT
-A OUTPUT -o ppp0 -p tcp -m tcp --sport 22 -j ACCEPT
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
# Generated by iptables-save v1.2.11 on Wed Feb 2 09:22:54 2005
*mangle
REROUTING ACCEPT [146553:116032229]
:INPUT ACCEPT [854:86066]
:FORWARD ACCEPT [144869:115901851]
:OUTPUT ACCEPT [651:67804]
OSTROUTING ACCEPT [145139:115944939]
COMMIT
# Completed on Wed Feb 2 09:22:54 2005
et maintenant , voici mes quelques doleances car la je melange un peu tout:
*Pouvoir acceder a internet depuis le routeur (pour les apt-get upgrade par exemple)
*Etre capable de forwarder un port de PPP0 au reseau local(ex du serveur web sur le reseau local devant etre accédé)..
et voila ! merci pour toute reponse/piste/eclairage/critique qui sont toutes les bienvenues !
Les esprits sont comme les parachutes ,
ils marchent bien mieux quand ils sont ouverts !
Poste le Wednesday 2 February 2005 09:30:35
Re: Firewall simple avec iptables
Envoyé par:
greywolf
Citation
* Pouvoir acceder a internet depuis le routeur (pour les apt-get upgrade par exemple)
iptables -A OUTPUT -o ppp0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
(éventuellement lister uniquement les sites http/ftp référencés dans sources.list ; dernière ligne pour le FTP en mode PORT)
Citation
Etre capable de forwarder un port de PPP0 au reseau local(ex du serveur web sur le reseau local devant etre accédé)..
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -m state --state NEW -j DNAT --to-destination <IP_privée_du_serveur>:80
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --dport 80 -d <IP_privée_du_serveur> -m state --state NEW -j ACCEPT
Poste le Wednesday 2 February 2005 10:14:34
Re: Firewall simple avec iptables
Envoyé par:
Nebuchadnezzar
quelle efficacité !!
DNAT je l'avais oublié celui la !!
merci beaucoup je m'en vais remplir ces quelques lignes...
O:-)
DNAT je l'avais oublié celui la !!
merci beaucoup je m'en vais remplir ces quelques lignes...
O:-)
Poste le Wednesday 2 February 2005 10:22:31
Re: Firewall simple avec iptables
Envoyé par:
Nebuchadnezzar
oups , il doit me manquer un acces en DNS pour faire mes apt-get upgrade ...
Poste le Wednesday 2 February 2005 10:28:46
Re: Firewall simple avec iptables
Envoyé par:
Nebuchadnezzar
pour le DNS c'est ok , par contre , mon apt-get install xxxx ne fonctionne pas au moment de telecharger en ftp .... m'en manque t'il un bout ?
Poste le Wednesday 2 February 2005 10:56:54
Ce forum !
Firewall simple avec iptables
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons