[IPtables] Problème de restriction de ports
Problème de restriction de ports [IPtables] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-03-2003 à 11:06:17
ben si tu veux autoriser seulement certains ports en sortie lan -> internet, tu rajoute un --dport <port_que_tu_autorise> à ta règles :iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
par exemple pour autoriser que le web port 80 :
iptables -A FORWARD -i eth0 -o ppp0 --dport 80 -m state --state ! INVALID -j ACCEPT
Marsh Posté le 07-03-2003 à 11:12:57
euh, elles servent strictement à rien tes règles de limitation du réseau local... puisque tu finis par tout accepter depuis et à destination du réseau local.
pour filtrer des ports depuis le LAN et vers internet, il va falloir appliquer tes règles sur la chaine FORWARD ; au lieu d'accepter tout ce qui sort du réseau, il ne faut accepter que les connexions à destinations de ports spécifiques : 80 pour Web, 21 pour FTP...
---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. | Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Marsh Posté le 07-03-2003 à 12:43:26
| Mjules a écrit : euh, elles servent strictement à rien tes règles de limitation du réseau local... puisque tu finis par tout accepter depuis et à destination du réseau local. |
oui je sais les règles que jai poste sont celles qu'il faut changer pour faire ce que je veux
si je fais cce que tu me proposes (accepter ke les ports que j'autorise puis ke je droppe tout à la fin), ben g des problemes
par exemple si apr cette methode jautorise le port 80 et le port 6666 pour l'irc, l'irc marche mais pas le web
Marsh Posté le 07-03-2003 à 12:44:45
| nikosaka a écrit : ben si tu veux autoriser seulement certains ports en sortie lan -> internet, tu rajoute un --dport <port_que_tu_autorise> à ta règles :iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT |
ben ca aussi g teste mais ca a pas l'air de marcher
enfin je retenterais ca ce soir
Merci pour vos reponses
Marsh Posté le 07-03-2003 à 20:17:27
commence par réécrire proprement ton script.
Utilise plutôt des iptables -A ....(ajout à la fin) que iptables -I ... (insertion)
c'est plus facile à lire et à comprendre car l'ordre de tes commandes est important.
Avec -A un paquet entrant parcours tes règles iptables de haut en bas et sort du script (la cible : -j ) lorsqu'il trouve la 1ère règle auquel il correspond (protocol, port , etc...)
Sujets relatifs:
- [IPTABLES] quelles règles pour ftp ?
- [MDK9] Problème avec les drivers nvidia [Résolu]
- install linux scsi probleme
- problème avec graveur yamaha scsi 8x4x24 et gcombust
- Plantage aléatoire ?[ Résolu ] New Problème ! [ Photos Inside ]
- [iptables] gérer un LAN d'IP publiques
- IPTAbles & APT-GET INSTALL
- Problème avec BIND 9.2.1
- [ Knoppix probleme avec lilo lors de l'install ]
- Petit problème avec ProftpD
Marsh Posté le 06-03-2003 à 23:46:54
J'habite dans une résidence étudiante et nous sommes une douzaine en reseau. Un routeur sous debian s'occupe de faire le partage de connexion.
Cet apres-midi g commence a m'occupper du script firewall car depuis la mise en place du routeur on ne faisait que de du partage basique qui il faut le dire n'est pas trop sécurisé. De plus l'interet est de limiter le dl par P2P pdt al journée.
tout marche bien a part la restriction de ports, en effet j'ai essaye pas mal de chose mais c du tout ou rien à chake fois.
Donc jaimerais autoriser a passer du lan au net seulement les ports les plus utilisés comme WWW, pop, smtp ,irc et autres IM
G essayer de faire ces restrictions sur toutes les tables mais ca en marche pas
voila mon script firewall:
et voici le résultat d'un iptables-save:
voila si vous pouviez m'eclairer un peu ca serait sympa