Conversation
precedente ou
suivante
Iptables configuration
Envoyé par:
OliverSleep
Salut,
voilà j'utilise iptables depuis pas mal de temps pour effectuer un partage de connexion, mais je voudrai améliorer ma configuration.
Actuellement un simple filtrage sur adresses IP/Mac est activé (donc seulement une liste d'utilisateur voulu peuvent accéder à Internet).
Je voudrais en plus de ça pouvoir bloquer tous les ports et n'ouvrir que ceux que j'ai envie en fait.
J'avais réussi à bloquer tout sauf ce que je voulais, mais là je veux pouvoir bloquer et en plus filtrer mes IP.
Voilà si quelqu'un aurai une petite idée, ce serai sympa.
Merci +++
voilà j'utilise iptables depuis pas mal de temps pour effectuer un partage de connexion, mais je voudrai améliorer ma configuration.
Actuellement un simple filtrage sur adresses IP/Mac est activé (donc seulement une liste d'utilisateur voulu peuvent accéder à Internet).
Je voudrais en plus de ça pouvoir bloquer tous les ports et n'ouvrir que ceux que j'ai envie en fait.
J'avais réussi à bloquer tout sauf ce que je voulais, mais là je veux pouvoir bloquer et en plus filtrer mes IP.
Voilà si quelqu'un aurai une petite idée, ce serai sympa.
Merci +++
Poste le Wednesday 2 May 2007 15:27:02
Re: Iptables configuration
Envoyé par:
chromosome
Donne des exemples de ce que tu veux car c'est pas tres clair.
Poste le Thursday 3 May 2007 23:27:57
Re: Iptables configuration
Envoyé par:
OliverSleep
Salut,
donc en fait actuellement je suis connecté à internet d'un côté et à lun LAN de l'autre. Le pcau milieu est donc un pare-feu utilisans iptables pour filtrer les gens que j'autorise à se connecter.
Le filtre actuel se passe ainsi :
-A POSTROUTING -s 172.*.*.* -j MASQUERADE
-A FORWARD -s 172.*.*.* -i eth0 -o eth1 -m mac --mac-source **:**:**:**:**:** -j ACCEPT
-A FORWARD -d 172.*.*.* -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Donc ce système de filtrage est très bien pour limiter l'accès qu'aux personnes aux IP et adresses MAC enregistrée.
Je voudrai, en plus de ce filtrage, pouvoir bloquer l'accès à tous les ports et n'ouvrir que ceux que je veux.
Par exemple, tout bloquer et ouvrir le 80, 21, 113, ... (afin de limiter certaines applications gourmandes en bande passante ;-))
Voilà je pense que c'est plus clair ainsi.
donc en fait actuellement je suis connecté à internet d'un côté et à lun LAN de l'autre. Le pcau milieu est donc un pare-feu utilisans iptables pour filtrer les gens que j'autorise à se connecter.
Le filtre actuel se passe ainsi :
-A POSTROUTING -s 172.*.*.* -j MASQUERADE
-A FORWARD -s 172.*.*.* -i eth0 -o eth1 -m mac --mac-source **:**:**:**:**:** -j ACCEPT
-A FORWARD -d 172.*.*.* -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
Donc ce système de filtrage est très bien pour limiter l'accès qu'aux personnes aux IP et adresses MAC enregistrée.
Je voudrai, en plus de ce filtrage, pouvoir bloquer l'accès à tous les ports et n'ouvrir que ceux que je veux.
Par exemple, tout bloquer et ouvrir le 80, 21, 113, ... (afin de limiter certaines applications gourmandes en bande passante ;-))
Voilà je pense que c'est plus clair ainsi.
Poste le Friday 4 May 2007 00:15:04
Re: Iptables configuration
Envoyé par:
chromosome
Alors pourquoi ne pas mettre dans ta regle les ports que tu veux ouvrir et mettre la regle par dafaut a DROP.
-a FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT (il ne serta a rien de mettre plus de filtre sur celle-ci)
Maintenant tu te fais chier avec des MAC et des adresses fait ton choix, sinon ton systeme va vite devenir ingerable. De toute facon l'un comme l'autre est modifiable facilement.
Ici mettre des filtres sur tes interfaces est un peu con, car personne va venir d'internet avec des adresses 172.16/21. Ou alors tu as de grosses craintes de ton provider :-)
-a FORAWRD -s 172.16.0.0/24 -p tcp --dport 80 -j ACCEPT (tous le monde peut surfer)
-a FORWARD -s 172.16.0.x -p tcp --dport 21 -j ACCEPT (celui-ci peut faire du ftp)
-a FORWARD -s 172.16.0.x -p tcp --dport 110 -j ACCEPT (celui-ci peut faire du pop3, je suis pas sur que ton 113 n'est pas un 110 dans ton enonce)
etc...
Il est, a mon sens, plus facile de faire une regle par flux que de mettre des mport dans les commandes, plus facile a gerer.
-a FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT (il ne serta a rien de mettre plus de filtre sur celle-ci)
Maintenant tu te fais chier avec des MAC et des adresses fait ton choix, sinon ton systeme va vite devenir ingerable. De toute facon l'un comme l'autre est modifiable facilement.
Ici mettre des filtres sur tes interfaces est un peu con, car personne va venir d'internet avec des adresses 172.16/21. Ou alors tu as de grosses craintes de ton provider :-)
-a FORAWRD -s 172.16.0.0/24 -p tcp --dport 80 -j ACCEPT (tous le monde peut surfer)
-a FORWARD -s 172.16.0.x -p tcp --dport 21 -j ACCEPT (celui-ci peut faire du ftp)
-a FORWARD -s 172.16.0.x -p tcp --dport 110 -j ACCEPT (celui-ci peut faire du pop3, je suis pas sur que ton 113 n'est pas un 110 dans ton enonce)
etc...
Il est, a mon sens, plus facile de faire une regle par flux que de mettre des mport dans les commandes, plus facile a gerer.
Poste le Monday 7 May 2007 09:26:29
Ce forum !
Iptables configuration
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons