Conversation
precedente ou
suivante
Configuration d'iptable
Envoyé par:
razer
Bonjour à tous,
je suis entrain de créer un fichier pour des règle iptables pour un réseau d'une entreprise.
LAN (serveur, client) <==>FW<==>WAN
En fait je veut que mes serveurs puisse interroger:
- serveur DNS (de notre fai),
- récupérer les mail (pop)
- envoyer les mail (smtp).
( seuleument interroger, mes serveur ne doivent pas etre joignable depuis internet)
Mes utilisateurs eux passeront par un proxy pour accéder à internet. Et tout le reste doit être bloquer.
Est-ce correcte? ou est-je commis des erreurs?
Je ne suis pas sur au niveau des forwards.
Merci d'avance pour vos réponses.
razer
je suis entrain de créer un fichier pour des règle iptables pour un réseau d'une entreprise.
LAN (serveur, client) <==>FW<==>WAN
En fait je veut que mes serveurs puisse interroger:
- serveur DNS (de notre fai),
- récupérer les mail (pop)
- envoyer les mail (smtp).
( seuleument interroger, mes serveur ne doivent pas etre joignable depuis internet)
Mes utilisateurs eux passeront par un proxy pour accéder à internet. Et tout le reste doit être bloquer.
$lan = eth1 $wan = eth0 $serveur1 = 172.16.0.19 $serveur2 = 172.16.0.252 $wsus = 172.16.0.8 $fw = 172.16.0.140 # Activation du forwarding echo 1 > /proc/sys/net/ipv4/ip_forward #Vidage des regles iptables -F iptables -X iptables -t nat -F iptables -t nat -X #Politique de restriction par defaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #FW: #processus locaux sont autorisés a fonctionner entre eux iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT #De LAN vers FW #regle SSH $lan vers FW iptables -A INPUT -p tcp --dport ssh -i $lan -j ACCEPT iptables -A OUTPUT -p tcp --sport ssh -o $lan -j ACCEPT #rediriger les le flux web des utilisateur $lan sur le proxy iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination $fw:3128 #De LAN vers WAN #regle des serveurs (exchange, wsus, pop,antivirus) iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -j ACCEPT iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -j ACCEPT iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -j ACCEPT iptables -A FORWARD -p tcp -m multiport --dports 80,443 -i $lan -o $wan -s $wsus -j ACCEPT #du FW vers WAN #DNS iptables -A INPUT -i $wan --protocol udp --source-port 53 -j ACCEPT iptables -A OUTPUT -o $wan --protocol udp --destination-port 53 -j ACCEPT iptables -A INPUT -i $wan --protocol tcp --source-port 53 -j ACCEPT iptables -A OUTPUT -o $wan --protocol tcp --destination-port 53 -j ACCEPT #web (surf) iptables -A INPUT -i $wan --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -o $wan --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Est-ce correcte? ou est-je commis des erreurs?
Je ne suis pas sur au niveau des forwards.
Merci d'avance pour vos réponses.
razer
Poste le Wednesday 29 April 2009 10:08:14
Re: Configuration d'iptable
Envoyé par:
peck
Si ton code est en shell on n'écrit pas $lan = eth1 maus laan=eth1 (pas de $ et pas d'espace).
iptables -A OUTPUT -p tcp --sport ssh -o $lan -j ACCEPT
-> inutile, voire dangereux, la règle précédente autorise déjà les connexions entrantes en ssh et leur réponse). Même réflexion pour les regles dns à la fin.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination $fw:3128
-> attention, cela signifie que ton firewall doit avoir un proxy qui est bien configuré pour être un proxy transparent (les utilisateurs ne sont pas au courant).
iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -j ACCEPT
-> je ne crois pas qu'iptables accepte ce format pour nommer les ports
[linux-attitude.fr]
iptables -A OUTPUT -p tcp --sport ssh -o $lan -j ACCEPT
-> inutile, voire dangereux, la règle précédente autorise déjà les connexions entrantes en ssh et leur réponse). Même réflexion pour les regles dns à la fin.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination $fw:3128
-> attention, cela signifie que ton firewall doit avoir un proxy qui est bien configuré pour être un proxy transparent (les utilisateurs ne sont pas au courant).
iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -j ACCEPT
-> je ne crois pas qu'iptables accepte ce format pour nommer les ports
[linux-attitude.fr]
Poste le Monday 10 August 2009 16:04:32
Ce forum !
Configuration d'iptable
Un problème avec une commande du shell ? Comment utiliser la crontab ? Vous avez des soucis pour la gestion réseau sous Linux ? Pour vous la gestion des utilisateurs/groupes est du chinois ? Etc... Posez donc vos questions ici.
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons