iptables : forwarding input/output ... - Codes et scripts - Linux et OS Alternatifs
Marsh Posté le 06-04-2003 à 10:44:32
le FORWARD est en ACCEPT donc le LAN peut tout faire. Fais les mêmes règles que sur IN/OUTPUT sur le FORWARD et tu auras ce que tu veux
Marsh Posté le 06-04-2003 à 18:55:38
J'ai un autre souci.
Pour autoriser le lan a utiliser pop et smtp j'utilise ca comme regle :
iptables -A FORWARD -p tcp -i ppp0 --sport 110 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 110 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 25 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 25 --sport 1024:65535 -j ACCEPT
C'est correct ? En tout cas ca fonctionne, mais ya peut etre plus optimise ?
Marsh Posté le 06-04-2003 à 19:34:05
Oui, smtp c'est pour le courrier entrant et l'autre pour le sortant de ton réseau. Donc, tu n'est po obligé d'autoriser le dport et le sport sur les deux..
Du moins il me semble, et en plus je sais plus si c'est bien ça (smpt pour recevoir et pop pour envoyer ).
Sinon, c'est bien.
Le passant.
Marsh Posté le 06-04-2003 à 19:37:54
Le passant a écrit : |
c l'inverse
Marsh Posté le 06-04-2003 à 20:04:18
Ok merci.
Mais par ex pour le surf et le ftp j'ai l'impression de mettre des trucs en double ...
iptables -A FORWARD -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 443 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 443 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 21 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 21 --sport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -i ppp0 --sport 20 --dport 1024:65535 -j ACCEPT
iptables -A FORWARD -p tcp -o ppp0 --dport 20 --sport 1024:65535 -j ACCEPT
Pourtant su chaque port, ya un -i et -o. Et si j'enelve une des deux regles ca fonctionne plus ...
Euh, j'ai bon ??
Marsh Posté le 06-04-2003 à 10:39:02
Salut,
J'ai un petit probleme avec iptables.
Voila ton d'abord mon script, ce n'est que le debut mais ya deja un probleme
#Interdiction de tout le traffic en local/externe sur toutes interfaces
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Autorisation de tout le traffic local sur toutes interfaces
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Autorisation requetes DNS
iptables -A INPUT -p udp -i ppp0 --sport 53 -j ACCEPT
iptables -A OUTPUT -p udp -o ppp0 --dport 53 -j ACCEPT
#Autorisation du surf
iptables -A INPUT -p tcp -i ppp0 --sport 80 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --dport 80 --sport 1024:65535 -j ACCEPT
#Autorisation serveur HTTP
iptables -A INPUT -p tcp -i ppp0 --sport 1024:65335 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -o ppp0 --dport 1024:65535 --sport 80 -j ACCEPT
#Partage de connexion
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
Donc la machine connecte a internet peut uniquement surfer, par contre les machines lam peuvent faire du ftp, du mirc, du cs ...
Alors qu'elles ne devraient que pouvoir surfer ... Ya un truc qui va pas quelque part ...
Si quelqu'un pouvait m'aider
Merci.
Message édité par Cruchot le 06-04-2003 à 21:22:55