[Debian Woody]Mon script iptables fonctionne po
Mon script iptables fonctionne po [Debian Woody] - Débats - Linux et OS Alternatifs
Marsh Posté le 16-11-2002 à 11:09:28
qd tu dis kil fonctionne pas, kel est la parti kil fait mal?
---------------
"Je brandirai une épée d'orichalque, je m'assouvirai sur des Templiers." | "Avec dans son sillage l'Ombre du Diable, Leirn appelait les morts pour une danse macabre et déchainaît les horreurs de la nuit..."
Marsh Posté le 16-11-2002 à 14:47:53
| leirn a écrit a écrit : qd tu dis kil fonctionne pas, kel est la parti kil fait mal? |
Les machines qui st derrière le Firewall ne peuvent pas surfer, pas faire de FTP.
Par contre la console du firewall est totalement inondé de LOG et y a po mal de DROP
Marsh Posté le 16-11-2002 à 15:40:56
Simple & facile 
)
http://freshmeat.net/projects/ipta [...] pic_id=151
Marsh Posté le 16-11-2002 à 15:51:32
| madsurfer a écrit a écrit : Si vous pouvez me dire ou j'ai fais des erreurs ! Le voici : #!/bin/sh ... # INPUT iptables -A INPUT -i eth0 -s 193.254.213.0/24 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j LOG_ACCEPT iptables -A INPUT -i eth0 -s 194.254.123.0/24 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j LOG_ACCEPT iptables -A INPUT -i eth0 -s 194.252.123.0/24 -p udp --dport 52 -j LOG_ACCEPT iptables -A INPUT -i eth0 -j LOG_DROP # OUTPUT iptables -A OUTPUT -o eth0 -j LOG_ACCEPT # FORWARD iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ... Merci |
y-aurait pas une incohérence entre tes 2 interfaces ?
c'est laquelle l'interface internet et laquelle l'interface réseau local ?
Sujets relatifs:
- [Debian] Ouvrir "au mieux" le port 113 avec iptables, pour l'IRC
- openoffice debian
- xmms ne fonctionne plus...
- [debian] conflit de librairies ???
- problêmes avec xmms sous debian
- quelle commande pour lancer k desktop a partir de debian shell
- configuration USB + hotplug (debian ou autre)
- [debian] pb installation mysql...
- Problêmes pour installer debian
Marsh Posté le 16-11-2002 à 11:08:40
Si vous pouvez me dire ou j'ai fais des erreurs !
Le voici :
#!/bin/sh
# ******************
# * INITIALISATION *
# ******************
# Flushage des tables
iptables -X
iptables -F
# log & creation de chaine LOG&DROP
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
# Idem pour LOG&ACCEPT
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
# Le trafic lo doit passer
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Ip spoofing# Ip spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# Pas d'ICMP
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# ******************
# * FIREWALLING *
# ******************
# Sur carte eth1 => cote LAN_DESS
# INPUT
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j LOG_ACCEPT
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j LOG_ACCEPT
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -p udp --dport 52 -j LOG_ACCEPT
iptables -A INPUT -i eth1 -j LOG_DROP
# OUTPUT
iptables -A OUTPUT -o eth1 -j LOG_ACCEPT
# Sur carte eth0 => cote LAN_UTT
# INPUT
iptables -A INPUT -i eth0 -s 193.254.213.0/24 -m state --state NEW,ESTABLISHED -p tcp --dport 21 -j LOG_ACCEPT
iptables -A INPUT -i eth0 -s 194.254.123.0/24 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j LOG_ACCEPT
iptables -A INPUT -i eth0 -s 194.252.123.0/24 -p udp --dport 52 -j LOG_ACCEPT
iptables -A INPUT -i eth0 -j LOG_DROP
# OUTPUT
iptables -A OUTPUT -o eth0 -j LOG_ACCEPT
# FORWARD
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Je bloc le reste
iptables -A FORWARD -j LOG_ACCEPT
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
Merci
Message édité par madsurfer le 16-11-2002 à 14:46:11