Conversation
precedente ou
suivante
Aide au fonctionnement du firewall
Envoyé par:
jacky008
Bonjour il y a quelquechose que je ne saisis pas dans le fonctionnement de iptables ou du firewall.
Lorsque l on parle du input ou du output,je ne sais jamais si l on parle du input de l interface cote lan.
Ou bien si l on parle de l interface cote internet.
Car je suppose que les deux cartes ont un input et un output.
Par exemple si je voulais juste autoriser internet sur mon firewall pour mon lan.
Quelle commande devrais je utiliser?
En admettant que les polices par defaut refusent tout sauf les regles qui sont specifiees.
Je suppose que je devrai autoriser le port 80 pour internet et le 53 pour le dns par rapport a l adresse source 192.168.0.24.
Mais sur quelle interface dois je le faire?
Cote lan ou internet? sur le input de l interface lan ou sur le output de l interface internet.
De plus dois je mettre un port de destination 80 ou alors supposer que c est le source puisque la requete vien du lan.
J aimerais juste que l on m explique en general parce que j ai lu plein de tutorials, je vois la syntaxe des commandes,comprend le fonctionnement en gros mais pas suffisament.
internet output input lan192.168.0.1/24
input output
En gros je n y comprends rien meme apres m etre tape pleins de tutorials.Je dois etre completement con.Aidez moi
Lorsque l on parle du input ou du output,je ne sais jamais si l on parle du input de l interface cote lan.
Ou bien si l on parle de l interface cote internet.
Car je suppose que les deux cartes ont un input et un output.
Par exemple si je voulais juste autoriser internet sur mon firewall pour mon lan.
Quelle commande devrais je utiliser?
En admettant que les polices par defaut refusent tout sauf les regles qui sont specifiees.
Je suppose que je devrai autoriser le port 80 pour internet et le 53 pour le dns par rapport a l adresse source 192.168.0.24.
Mais sur quelle interface dois je le faire?
Cote lan ou internet? sur le input de l interface lan ou sur le output de l interface internet.
De plus dois je mettre un port de destination 80 ou alors supposer que c est le source puisque la requete vien du lan.
J aimerais juste que l on m explique en general parce que j ai lu plein de tutorials, je vois la syntaxe des commandes,comprend le fonctionnement en gros mais pas suffisament.
internet output input lan192.168.0.1/24
input output
En gros je n y comprends rien meme apres m etre tape pleins de tutorials.Je dois etre completement con.Aidez moi
Poste le Friday 15 July 2005 18:03:53
Re: Aide au fonctionnement du firewall
Envoyé par:
greywolf
input et output (des commandes --input et --output) servent simplement à définir le sens et la direction des paquets:
-i eth0 -o ppp0 concerne les paquets qui rentrent sur eth0 et qui sortent sur ppp0
-i ppp0 -o eth0 concerne les paquets qui rentrent sur ppp0 et qui sortent sur eth0
etc...
à ne pas confondre avec les chaines INPUT, OUTPUT et FORWARD de la table filter (et nat pour FORWARD)
ces chaines concernent respectivement:
les paquets entrants à destination de la passerelle quelquesoit leur provenance (LAN ou WAN)
les paquets sortants émis par la passerelle quelquesoit leur destination (LAN ou WAN)
les paquets qui transitent par la passerelle, en provenance du LAN/WAN et à destination du WAN/LAN
Pour ton que PC LAN 192.168.0.24 ait accès à internet, il faut qu'il puisse envoyer des requetes DNS et HTTP.
Le filtrage sur la passerele s'effectue alors dans la chaine FORWARD
#1ère ligne pour accepter les connexions établies
iptables -A FORWARD -i ppp0 -s 0.0.0.0/0 -o eth0 -d 192.168.0.24/24 !--syn -m state --state ESTABLISHED -j ACCEPT
#autorisation des requetes DNS
iptables -A FORWARD -i eth0 -s 192.168.0.24/24 -o ppp0 -d <tes_serveurs_DNS> -p udp --port 53 -m state --state NEW -j ACCEPT
#autorisation des requetes HTTP
iptables -A FORWARD -i eth0 -s 192.168.0.24/24 -o ppp0 -d 0.0.0.0/0 -p tcp --port 80 --syn -m state --state NEW -j ACCEPT
-i eth0 -o ppp0 concerne les paquets qui rentrent sur eth0 et qui sortent sur ppp0
-i ppp0 -o eth0 concerne les paquets qui rentrent sur ppp0 et qui sortent sur eth0
etc...
à ne pas confondre avec les chaines INPUT, OUTPUT et FORWARD de la table filter (et nat pour FORWARD)
ces chaines concernent respectivement:
les paquets entrants à destination de la passerelle quelquesoit leur provenance (LAN ou WAN)
les paquets sortants émis par la passerelle quelquesoit leur destination (LAN ou WAN)
les paquets qui transitent par la passerelle, en provenance du LAN/WAN et à destination du WAN/LAN
Pour ton que PC LAN 192.168.0.24 ait accès à internet, il faut qu'il puisse envoyer des requetes DNS et HTTP.
Le filtrage sur la passerele s'effectue alors dans la chaine FORWARD
#1ère ligne pour accepter les connexions établies
iptables -A FORWARD -i ppp0 -s 0.0.0.0/0 -o eth0 -d 192.168.0.24/24 !--syn -m state --state ESTABLISHED -j ACCEPT
#autorisation des requetes DNS
iptables -A FORWARD -i eth0 -s 192.168.0.24/24 -o ppp0 -d <tes_serveurs_DNS> -p udp --port 53 -m state --state NEW -j ACCEPT
#autorisation des requetes HTTP
iptables -A FORWARD -i eth0 -s 192.168.0.24/24 -o ppp0 -d 0.0.0.0/0 -p tcp --port 80 --syn -m state --state NEW -j ACCEPT
Poste le Saturday 16 July 2005 08:27:23
Re: Aide au fonctionnement du firewall
Envoyé par:
greywolf
erratum: la table nat ne concerne que les chaines PREROUTING, POSTROUTING et OUTPUT (et non FORWARD comme marqué dans mon précédent message)
(mangle par contre peut s'appliquer à toutes les chaines)
pour inclure une règle dans les tables nat et/ou mangle il faut le préciser explicitement à iptables (qui considère la table filter par défaut)
iptables -t nat -A PREROUTING .......
(mangle par contre peut s'appliquer à toutes les chaines)
pour inclure une règle dans les tables nat et/ou mangle il faut le préciser explicitement à iptables (qui considère la table filter par défaut)
iptables -t nat -A PREROUTING .......
Poste le Sunday 17 July 2005 23:22:34
Ce forum !
Aide au fonctionnement du firewall
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons