problème iptables : comment configurer proprement ?

problème iptables : comment configurer proprement ? - Linux et OS Alternatifs

Marsh Posté le 02-12-2001 à 16:28:44    

j'ai un petit probleme avec iptables pour faire du nat
j'ai récupéré un script qui permet de faire du masquerading tout en étant censé faire un drop de toute tentative de connexion venant de "l'extérieur" qui n'est pas demandé par "l'intérieur"
(pour eviter l'ip spoofing pnotamment)
seulemnt si je l'utilise tel quel j'ai plus rien qui sort non plus (pas moyen d'utiliser le net donc) du coup je suis obligé de mettre les règles par défaut en accept et donc adieu la sécurité.
 
Si l'un de vous utilise des scripts du meme genre ca serai sympa de m'en envoyer des echantillons afin de pouvoir comparer et corriger ce qui ne va pas sans avoir besoin de me tapper toute la doc d'iptables (j'en ai matériellement pas le temps)
 
si y en a que ca intéresse je peut poster mon script comme ca ils pourront voirr par eux-mêmes
 
merci d'avance ;)

Reply

Marsh Posté le 02-12-2001 à 16:28:44   

Reply

Marsh Posté le 02-12-2001 à 16:59:46    

voila le ptit script simple que j'ai mis sur ma passerelle (inspire du site http://christian.caleca.free.fr/ne [...] ecture.htm)
 

Code :
  1. mp="/sbin/modprobe"
  2. ipt="/usr/sbin/iptables"
  3. net="192.168.1.0/24"
  4. outif="ppp0"
  7. $mp iptable_nat
  8. $mp iptable_filter
  9. $mp iptable_mangle
  10. $mp ipt_state
  11. $mp ipt_MASQUERADE
  13. # Table Filter (table par défaut).
  14. #---------------------------------
  15. #Vidage des chaînes
  16. $ipt -F
  17. #Destruction des chaînes "personnelles"
  18. $ipt -X
  20. #Stratégie par défaut:
  21. #INPUT et FORWARD sont DROP
  22. $ipt -P INPUT DROP
  23. $ipt -P FORWARD DROP
  24. #OUTPUT est ACCEPT
  25. $ipt -P OUTPUT ACCEPT
  27. # Création d'une chaîne personnelle: "SuiviConnexions"
  28. $ipt -N SuiviConnexions
  29. # Filtrage de suivi dans cette chaîne:
  30. # Seules les nouvelles connexions qui ne viennent pas du Net sont acceptées
  31. # (outif est l'interface sur le Net)
  32. $ipt -A SuiviConnexions -m state --state NEW -i ! $outif -j ACCEPT
  33. # le "!" est l'opérateur logique NOT
  35. # Toutes les connexions établies et relatives sont acceptées
  36. $ipt -A SuiviConnexions -m state --state ESTABLISHED,RELATED -j ACCEPT
  38. # Et les deux chaînes INPUT et FORWARD pointent sur SuiviConnexions
  39. $ipt -A INPUT -j SuiviConnexions
  40. $ipt -A FORWARD -j SuiviConnexions
  42. # Init. des tables NAT et MANGLE:
  43. #--------------------------------
  44. $ipt -t nat -F
  45. $ipt -t nat -X
  46. $ipt -t nat -P PREROUTING ACCEPT
  47. $ipt -t nat -P POSTROUTING ACCEPT
  48. $ipt -t nat -P OUTPUT ACCEPT
  49. $ipt -t mangle -F
  50. $ipt -t mangle -X
  51. $ipt -t mangle -P PREROUTING ACCEPT
  52. $ipt -t mangle -P OUTPUT ACCEPT
  54. # On ouvre le port IDENT
  55. #-----------------------
  56. $ipt -A INPUT -p tcp --dport auth -j ACCEPT
  58. # On ouvre le port 3128 pour le proxy Squid
  59. #------------------------------------------
  60. $ipt -A INPUT -p tcp -d 192.168.1.1 --dport 3128 -j ACCEPT --source $net
  62. # Mise en place du NAT
  63. #---------------------
  64. $ipt -t nat -A POSTROUTING -s $net -o $outif -j MASQUERADE
  65. echo 1 > /proc/sys/net/ipv4/ip_forward
  68. $mp ip_nat_ftp
  69. $mp ip_conntrack_ftp


 
j'aurai d'ailleurs une ptite question sur ce script pour savoir si la facon dont j'ouvre le port pour l'ident, et le port pour le proxy sont ok ??

Reply

Marsh Posté le 02-12-2001 à 17:19:36    

Merci beaucoup
 
maintenant ca marche
 
En fait j'avis le même script mais quand je l'ai recopié j'ai dû oublier les deux lignes pour faire pointer la chaine SuiviConnexion sur les chianes principales.
 
Du coup ca ne pouvais pas marcher.
 
a+

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed