Conversation
precedente ou
suivante
Page: 1 sur 3
IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
Bonjour à tous 
Je vous écrit dans un grand moment de désespoire ^^ :-cb
J'ai une station Linux (RedHat8) avec 2 cartes réseau (eth0 et eth1). Je veux faire un pont filtrant entre 2 réseaux locaux ...
Je commence donc par créer un script pour le pont:
<=============================================>
# !/bin/sh
#
# description: Fonction Bridge
#chkconfig 2345 90 10
. /etc/rc.d/init.d/functions
RETVAL=0
case "$1" in
start)
echo "Démarrage du pont"
brctl addbr ponteth
brctl stp ponteth off
brctl addif ponteth eth0
brctl addif ponteth eth1
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
ifconfig ponteth 192.168.20.2 netmask 255.255.255.0 broadcast 192.168.20.255 up
route add default gw 192.168.20.1
touch /var/lock/subsys/bridge
RETVAL=$?
echo
;;
<=============================================>
Ce script fonctionne (les 2 réseaux communiquent). Mais je dois mettre en place un filtrage, grâce au script suivant (placé après la ligne "route add default gw 192.168.20.1"):
<=============================================>
PATH="/usr/sbin:$PATH"
iptables -F
iptables -X
iptables -A FORWARD -j DROP
<=============================================>
Cependant, la communication sur le pont passe toujours, alors que tous les paquets passant par le pont devraient être effacés (DROP) @#%! :censored:
Quand j'utilise le script suivant, la station Linux est bien déconnectée (INPUT et OUTPUT), mais le pont fonctionne toujours :calimero:
<=============================================>
PATH="/usr/sbin:$PATH"
iptables -F
iptables -X
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
<=============================================>
J'ai donc quelques questions à vous poser (je débute depuis 2 mois sous Linux):
> Ma syntaxe "iptables -A FORWARD -j DROP" est-elle correcte ? (je pense que oui)
> Peut-on mettre le script des iptables dans le même fichier que le script du pont (brctl) ?!
> Sinon, il y a t'il un fichier précis où l'on doit mettre le script des iptables ?
Merci à ceux qui passerons du temps à me répondre.
Gosth35
Ps: j'accepte de me faire fouetter par celui qui a une solutionQ ~
Je vous écrit dans un grand moment de désespoire ^^ :-cb
J'ai une station Linux (RedHat8) avec 2 cartes réseau (eth0 et eth1). Je veux faire un pont filtrant entre 2 réseaux locaux ...
Je commence donc par créer un script pour le pont:
<=============================================>
# !/bin/sh
#
# description: Fonction Bridge
#chkconfig 2345 90 10
. /etc/rc.d/init.d/functions
RETVAL=0
case "$1" in
start)
echo "Démarrage du pont"
brctl addbr ponteth
brctl stp ponteth off
brctl addif ponteth eth0
brctl addif ponteth eth1
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
ifconfig ponteth 192.168.20.2 netmask 255.255.255.0 broadcast 192.168.20.255 up
route add default gw 192.168.20.1
touch /var/lock/subsys/bridge
RETVAL=$?
echo
;;
<=============================================>
Ce script fonctionne (les 2 réseaux communiquent). Mais je dois mettre en place un filtrage, grâce au script suivant (placé après la ligne "route add default gw 192.168.20.1"):
<=============================================>
PATH="/usr/sbin:$PATH"
iptables -F
iptables -X
iptables -A FORWARD -j DROP
<=============================================>
Cependant, la communication sur le pont passe toujours, alors que tous les paquets passant par le pont devraient être effacés (DROP) @#%! :censored:
Quand j'utilise le script suivant, la station Linux est bien déconnectée (INPUT et OUTPUT), mais le pont fonctionne toujours :calimero:
<=============================================>
PATH="/usr/sbin:$PATH"
iptables -F
iptables -X
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
iptables -A OUTPUT -j DROP
<=============================================>
J'ai donc quelques questions à vous poser (je débute depuis 2 mois sous Linux):
> Ma syntaxe "iptables -A FORWARD -j DROP" est-elle correcte ? (je pense que oui)
> Peut-on mettre le script des iptables dans le même fichier que le script du pont (brctl) ?!
> Sinon, il y a t'il un fichier précis où l'on doit mettre le script des iptables ?
Merci à ceux qui passerons du temps à me répondre.
Gosth35
Ps: j'accepte de me faire fouetter par celui qui a une solution
Q ~Poste le Tuesday 10 May 2005 15:10:05
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Brugmans Frédéric
ce ne serait pas plutot iptables -P FORWARD DROP ?
--
Brugmans Frédéric
[www.brugmans.net]
[triathlon.sport-challenge.be]
--
Brugmans Frédéric
[www.brugmans.net]
[triathlon.sport-challenge.be]
Poste le Tuesday 10 May 2005 19:13:04
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
Bonjour!
Merci pour ta réponse, mais j'avais déjà essayé. En effet, la règle -P définie une règle par défault; mais cela revient au même sur mon pont, tout passe :##
Par contre sur un autre forum, on m'a conseillé d'utiliser ebtables.
Quelqu'un a une idée ?-(
Merci de vos réponses.
Continuez ...
Gosth35
Merci pour ta réponse, mais j'avais déjà essayé. En effet, la règle -P définie une règle par défault; mais cela revient au même sur mon pont, tout passe :##
Par contre sur un autre forum, on m'a conseillé d'utiliser ebtables.
Quelqu'un a une idée ?-(
Merci de vos réponses.
Continuez ...
Gosth35
Poste le Wednesday 11 May 2005 09:15:56
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Renan
je me souviens que j'avais eu des pbs de fonctionnement du réseau à cause d'un variables a renseigner, je ne me souvien plus exactement de laquelle il s'agit, mais c'est qqch du genre net.ipv4 = 1
je vais essayer de retrouver ça
je vais essayer de retrouver ça
Poste le Wednesday 11 May 2005 09:24:23
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
A part la version de RedHat, tu utilise la même config que moi pour le pont ?!
J'ai bien remplacé la ligne que tu ma donné, j'ai rebooté (au cas où ...), mais ca continue de passer ... :##
Tu n'aurais pas une autre idée (même si la dernière va p'tre m'aider).
Merci.
Gosth35
J'ai bien remplacé la ligne que tu ma donné, j'ai rebooté (au cas où ...), mais ca continue de passer ... :##
Tu n'aurais pas une autre idée (même si la dernière va p'tre m'aider).
Merci.
Gosth35
Poste le Wednesday 11 May 2005 10:07:14
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Renan
Vérifie au cas où que la variable à bien été changé.
Non je n'utilise plus la même chose que toi, mais j'ai eu a faire, sauf que je n'ai pas opté pour faire un pont, mais pour configurer le post en tant que routeur.
Mais celà ne devrait rien changer
Remplace toujours ta syntaxe d'iptables
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
plutot que iptables -A INPUT -j DROP
la différence est que dans la deuxième tu effectues un ajout (-A), alors que dans la première tu défini les paramètres de base (-P)
ajoute un iptables -L a la fin ça te permettra de vérifier que les commandes sont bien passés, et pense a enregistrer tes iptables à la fin (sinon au reboot tu devra tout recommencer) :
iptables -save
mais il me semble qu'il faut tapper le chemin d'accès (par contre, j'ai un trou là)
Non je n'utilise plus la même chose que toi, mais j'ai eu a faire, sauf que je n'ai pas opté pour faire un pont, mais pour configurer le post en tant que routeur.
Mais celà ne devrait rien changer
Remplace toujours ta syntaxe d'iptables
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
plutot que iptables -A INPUT -j DROP
la différence est que dans la deuxième tu effectues un ajout (-A), alors que dans la première tu défini les paramètres de base (-P)
ajoute un iptables -L a la fin ça te permettra de vérifier que les commandes sont bien passés, et pense a enregistrer tes iptables à la fin (sinon au reboot tu devra tout recommencer) :
iptables -save
mais il me semble qu'il faut tapper le chemin d'accès (par contre, j'ai un trou là)
Poste le Wednesday 11 May 2005 10:39:58
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
J'avais bien remplacé ma commande par "iptables -P FORWARD DROP", mais je ne la vois pas dans "iptables -L FORWARD". C'est normal ?-(
Je n'ai pas besoin d'enregistrer mes iptables, car j'ai un script qui les lance automatiquement au démarrage (comme mon pont éthernet d'ailleur).
Je vais surement passer mon système à RedHat9, mais il va faloir que je reconfigure tout, et ça va me prendre du temps (je ne suis pas un pro de Linux 8() ). C'est pour cela que j'apprécie votre aide, continuez ...
Gosth35
Je n'ai pas besoin d'enregistrer mes iptables, car j'ai un script qui les lance automatiquement au démarrage (comme mon pont éthernet d'ailleur).
Je vais surement passer mon système à RedHat9, mais il va faloir que je reconfigure tout, et ça va me prendre du temps (je ne suis pas un pro de Linux 8() ). C'est pour cela que j'apprécie votre aide, continuez ...
Gosth35
Poste le Wednesday 11 May 2005 10:53:15
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Renan
moi non plus je ne suis pas un pro de linux, mais j'aide si je peux 
que fait la commande iptables -X, c'est peut etre con comme reflexion, mais si tu essaye sans, ça fait quoi ?
et n'oubli pas de refaire un iptables -F (sur certaine distrib, c'est quasi obligatoire).
si je peux te conseiller une distrib, utilise debian, et si tu as peur pour l'installation de debian prend ubuntoo (c'est une debian facile d'installation)
que fait la commande iptables -X, c'est peut etre con comme reflexion, mais si tu essaye sans, ça fait quoi ?
et n'oubli pas de refaire un iptables -F (sur certaine distrib, c'est quasi obligatoire).
si je peux te conseiller une distrib, utilise debian, et si tu as peur pour l'installation de debian prend ubuntoo (c'est une debian facile d'installation)
Poste le Wednesday 11 May 2005 10:58:39
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
"iptables -X" a pour but de vider la table de je ne sais plus quoi. J'ai trouvé cette ligne dans la plus part des fichier de conf donné en exemple ...
J'ai essayé sans, mais cela ne change rien au résultat: tout passe sur le pont, alors que tout deveait être bloqué !
Merci de ton aide.
Gosth35
J'ai essayé sans, mais cela ne change rien au résultat: tout passe sur le pont, alors que tout deveait être bloqué !
Merci de ton aide.
Gosth35
Poste le Wednesday 11 May 2005 11:37:16
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Perramus
Salut,
Les politiques définissent ce qui se passe lorsqu'un paquet ne passe par aucune règle de la chaîne.
En espérant que ça aide...
Une petite doc pour la route : [olivieraj.free.fr] ;-)
C'est normal, elle doit être indiquée comme suit :Citation
Gosth35
J'avais bien remplacé ma commande par "iptables -P FORWARD DROP", mais je ne la vois pas dans "iptables -L FORWARD". C'est normal
Chain FORWARD (policy DROP)
Les politiques définissent ce qui se passe lorsqu'un paquet ne passe par aucune règle de la chaîne.
Après vérification, il semble que la syntaxe correcte soitCitation
net.ipv4.ip_forward = 1
echo 1 >/proc/sys/net/ipv4/ip_forward
En espérant que ça aide...
Une petite doc pour la route : [olivieraj.free.fr] ;-)
Poste le Wednesday 11 May 2005 11:57:58
Re: IPTABLES (firewall), à l'aide SVP ...
Envoyé par:
Gosth35
Madko, quand tu dis "dans le kernel", tu veux parler du fichier /etc/sysctl.conf ?-(
Si c'est bien celui là, je n'ai que les lignes suivantes:
> net.ipv4.ip_forward = 1
> net.ipv'.conf.default.rp_filter = 1
> kernel.sysrq = 0
> kernel.core_uses_pid = 1
Mais peut-être parles tu d'un autre fichier (je débute sous Linux) ...
Thx.
Gosth35
Si c'est bien celui là, je n'ai que les lignes suivantes:
> net.ipv4.ip_forward = 1
> net.ipv'.conf.default.rp_filter = 1
> kernel.sysrq = 0
> kernel.core_uses_pid = 1
Mais peut-être parles tu d'un autre fichier (je débute sous Linux) ...
Thx.
Gosth35
Poste le Wednesday 11 May 2005 12:12:22
Page: 1 sur 3
Ce forum !
IPTABLES (firewall), à l'aide SVP ...
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Nouveau sujet sur ce forum
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons