Conversation
precedente ou
suivante
Iptables routeur firewall
Envoyé par:
emmanuelt
Bonjour,
Je travaille actuellement sur la mise en place d'un routeur firewall avec iptable mais j'ai quelques notions sur ce service que j'ai du mal à appréhender.
il s'agiera d'une configuration de base sans DMZ
lan------routeur/firewall/nat--------Internet
pour publier un service d'un serveur sur le lan (smtp qui n'est pas sur une DMZ par exemple) j'utilise la commande FORWARD. est ce bon ?
Pour que les postes du lan aient accès à Internet pourquoi utilise t-on la commande INPUT alors que nous faisons que traverser le firewall ?
la commande INPUT sert bien à gérer les paquets entrant qui ont pour destination le firewall ?
la commande OUTPUT sert à gérer les paquets sortant qui ont pour source le Firewall ?
J'ai du mal à cerner avec exactitude la définition de INPUT et OUTPUT.
autre petite question liée à Iptables.
J'ai créé un fichier rc.firewall-iptables hors j'ai aussi un fichier iptables dans /etc/sysconfig/ qui existe et qui comporte déjà quelques lignes de configuration ? A quoi sert-il ???
si je tape "iptables -L" les règles correspondent à celles qui sont dans le fichier rc.firewall-iptables.
Merci par avance,
Emmanuelt
Je travaille actuellement sur la mise en place d'un routeur firewall avec iptable mais j'ai quelques notions sur ce service que j'ai du mal à appréhender.
il s'agiera d'une configuration de base sans DMZ
lan------routeur/firewall/nat--------Internet
pour publier un service d'un serveur sur le lan (smtp qui n'est pas sur une DMZ par exemple) j'utilise la commande FORWARD. est ce bon ?
Pour que les postes du lan aient accès à Internet pourquoi utilise t-on la commande INPUT alors que nous faisons que traverser le firewall ?
la commande INPUT sert bien à gérer les paquets entrant qui ont pour destination le firewall ?
la commande OUTPUT sert à gérer les paquets sortant qui ont pour source le Firewall ?
J'ai du mal à cerner avec exactitude la définition de INPUT et OUTPUT.
autre petite question liée à Iptables.
J'ai créé un fichier rc.firewall-iptables hors j'ai aussi un fichier iptables dans /etc/sysconfig/ qui existe et qui comporte déjà quelques lignes de configuration ? A quoi sert-il ???
si je tape "iptables -L" les règles correspondent à celles qui sont dans le fichier rc.firewall-iptables.
Merci par avance,
Emmanuelt
Poste le Friday 27 February 2009 11:56:22
Re: Iptables routeur firewall
Envoyé par:
NBaH
Je crois que ça ne suffira pas, il va falloir faire du NAT...Citation
emmanuelt
pour publier un service d'un serveur sur le lan (smtp qui n'est pas sur une DMZ par exemple) j'utilise la commande FORWARD. est ce bon ?
Il faut bien que les connexions arrivent sur la passerelle ! ensuite elles sont forwardées.Citation
J'ai du mal à cerner avec exactitude la définition de INPUT et OUTPUT.
Pour le reste, je ne sais pas, je n'utilise pas de RH-like...
Poste le Friday 27 February 2009 18:46:10
Re: Iptables routeur firewall
Envoyé par:
NBaH
Que nenni !Citation
NBaH
Il faut bien que les connexions arrivent sur la passerelle ! ensuite elles sont forwardées.
Je suis en train de relire Packet Filtering HOWTO, et il y apparait qu'il n'est pas nécessaire de préciser d'INPUT/OUTPUT lorsque on fait un FORWARD.
Ma réponse était a priori et basée sur mes propres régles iptables : j'ai, sur ma passerelle, un serveur pour mon LAN, il faut donc que les machines, derrière le parefeu, puissent y accéder !
Poste le Tuesday 3 March 2009 14:11:38
Re: Iptables routeur firewall
Envoyé par:
peck
INPUT, OUTPUT et FORWARD sont des chaines de la table filter.
Elles concernent (en général on peut aussi bidouiller) la fonction firewall. Un paquet ne traverse qu'une seule de ces chaines :
INPUT : ca s'arrete sur la machine
OUTPUT : ca part de la machine
FORWARD : ca traverse la machine
Donc FORWARD c'est bien pour "filtrer" ce qui traverse la machine en tant que firewall.
Après je ne sais pas ce qu tu appelle publier. Si ta DMZ a des ip privées il va aussi falloir faire du nat, cad utiliser les chaines PREROUTING et POSTROUTING de la table nat.
Ensuite pour tes scripts sysconfig ou rc.xxx, c'est chaque distribution qui a son emplacement par défaut pour ce genre de chose, mais tu peux le mettre où tu veux.
[linux-attitude.fr]
Elles concernent (en général on peut aussi bidouiller) la fonction firewall. Un paquet ne traverse qu'une seule de ces chaines :
INPUT : ca s'arrete sur la machine
OUTPUT : ca part de la machine
FORWARD : ca traverse la machine
Donc FORWARD c'est bien pour "filtrer" ce qui traverse la machine en tant que firewall.
Après je ne sais pas ce qu tu appelle publier. Si ta DMZ a des ip privées il va aussi falloir faire du nat, cad utiliser les chaines PREROUTING et POSTROUTING de la table nat.
Ensuite pour tes scripts sysconfig ou rc.xxx, c'est chaque distribution qui a son emplacement par défaut pour ce genre de chose, mais tu peux le mettre où tu veux.
[linux-attitude.fr]
Poste le Wednesday 4 March 2009 09:29:09
Ce forum !
Iptables routeur firewall
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons