[IPTABLES] Structure script firewall <---> LAN sans DMZ

Structure script firewall <---> LAN sans DMZ [IPTABLES] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 23-04-2003 à 11:19:06    

Bonjour ,
 
Mon soucis :  
 
J ai un firewall derriere une ip fixe.  
Pas de dmz tout est sur le meme range d ip .
Cela veut dire que qu au sein de mon Lan , jai un serv web et dns (caching dns) .  
 
J aimerais donc savoir quelle structure adopter pr mon script . J utilise ca sans succes pr l instant.  
 
 

Code :
  1. #DNS FORWARDING
  2. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 53 -j DNAT --to 192.168.204.200:53
  3. iptables -t nat -A PREROUTING -i eth0 -p udp --dport 53 -j DNAT --to 192.168.204.200:53
  4. iptables -A FORWARD -p tcp --dport 53 -i eth1 -j ACCEPT
  5. iptables -A FORWARD -p tcp --dport 53 -i eth1 -j ACCEPT

 
 
J utilise la meme structure de script pour le web . Ca ne fonctionne pas . Bien sur jai naté et fais toutes les choses habituelles pr ce genre de script.
 
Est ce qu avec chaque PREROUTING je dois forcement faire suivre un FORWARD.
 
Je prefere faire des bridges que des gateways :)
 
Merci de me lire.
 
L ideal pour moi serait d avoir un exemple qui fonctionne.
   

Reply

Marsh Posté le 23-04-2003 à 11:19:06   

Reply

Marsh Posté le 23-04-2003 à 12:45:19    

Pour pas trop c prendre la tete avec iptables :
http://monmotha.mplug.org/firewall/index.php
 
Ca marche tres bien et c configurer en 2 coups de cuilleres à pots
 
A+

Reply

Marsh Posté le 23-04-2003 à 13:01:52    

Merci pour le lien.  
 
Je connais ce script , mais bon j aimerais faire tourner mon script   ;) . Et savoir pkoa ca ne fonctionne pas.  
 
Est ce que qqun à une idee , QQun peut me proposer un script iptables avec ip fixe / pas de dmz web serv dns au sein du Lan .  
 
Si qqun peut m aider ,  a savoir la structure de mes rules.  
 
Merci d avance.  

Reply

Marsh Posté le 23-04-2003 à 13:09:31    

donnes plus d'infos sur la config de ta passerelle, eth0 vers le net ,eth1 vers le lan ...?

Reply

Marsh Posté le 23-04-2003 à 13:09:32    

Que veux tu faire exactement avec ton serv dns ?
Forcer les gens du lan a l'utiliser ?
 
A+

Reply

Marsh Posté le 23-04-2003 à 13:18:28    

Merci pr vos reponses.  
 
Ce que je desire faire :  
 
Simple j ai une connection au net ip fixe  , un firewall (gateway) av 2 cartes reseau .  
eth0 outside  
eth1 inside  
 
Derriere eth1 j ai mon Lan mais aussi mes serv web et dns en caching . En fait sur la meme ip 192.168.204.200 j ai un web/dns/mail qui st sur la meme machine.
 
Mon soucis principale est comment router le flux entrant en http  dns smpt pop3 . Est ce que mes rules vs semblent correctes (1er post)? .  
 
Merci d avance.


Message édité par GMIGA le 23-04-2003 à 13:31:16
Reply

Marsh Posté le 23-04-2003 à 13:32:21    

Affiche toutes tes regles si tu veux un peu d'aide , pi ossi un pti iptables -L -v ( c pratique ).
 
Sinon pour le dns, je ne sais tjrs pas ce ke tu vuex faire .
 
Pour router un port sur une becane du lan tu fais :
 
$IPTABLES -t nat -A PREROUTING -d $INET_IP -i $INET_IFACE -p tcp --dport 25 -j DNAT --to-destination $IP_MAIL:25
$IPTABLES -A FORWARD -d $IP_MAIL -i $INET_IFACE -o $LAN_IFACE -p tcp --dport 25 -j ACCEPT
 
Pour le smtp par exemple ...
INET_IP= adresse ip fixe
INET_IFACE = ppp0 ( generallement )
[...]
 
A+

Reply

Marsh Posté le 23-04-2003 à 14:18:52    

Ok merci pour ton aide ,
 
Je teste ca et je vs tiens au courant.  
 
 
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed