Je sais que j'arrête pas de vous faire chier avec iptables mais bon, grace à vous j'ai déjà beaucoup appris alors je continue...
je voudrais avoir un script qui permettrait à ma passerelle serveur de n'ecouter que sur certains ports et de forwarder tout le reste.
Elle écouterait sur le 21,22,80,953,3306 ; tout le reste passerait sur le réseau (sauf un deny total du 23).
Y'a moyen de faire ca ?
Merci d'avance

oui, c'est possible sans problème.
Désolé, mais faire un script complet pour toi, c'est pas faisable, après, un autre va en demander un, puis un autre, et qq passera son temps à faire des scripts iptables... (j'espère que tu me comprends)
 
Sinon, pour les conseils, va voir sur http://www.linuxguruz.org/iptables/ .
J'y ai pris le script http://www.linuxguruz.org/iptables [...] ll_004.txt qui est une bonne base et l'ai modifié pour ma conso personelle.
Si tu le veux...
 
Le schéma (presque complet, il manque juste la chaine -t nat output)issu de http://www.knowplace.org/netfilter/syntax.html pourra certainement t'aider dans ta compréhension.
 
Sinon, faits bien attention à avoir les  
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP # pas indispensable à toi de voir si tu veux empêcher l'accès de ton réseau à certains services sur le web.
 
La table -t nat ne tient compte que du paquet de données de la première connection.  La règle appliquée pour ce premier paquet sera appliquée à tous les autres paquets de cette connection.  C'est donc utile pour le bloquage du spoofing, des adresses de classes A,B,C,D et réservée entrant sur ton réseau.  Ne pas l'utiliser pour les problèmes de fragmentation, ...
 
N'accèpte pas de connection, provenant d'internet sur ta paserelle et encore moins sur ton réseau, sur les port < 1023] si tu n'as pas de serveur!!
 
Je vois que tu veux autoriser les ports 21,22,3306 entre autre... Réfléchis à ce que tu veux faire.  Veux-tu les rendre accessible à ton réseau ou à internet ? La différence est grande ;-)
 
Si tu as des questions plus précise je suis à ta disposition.
 
Site de netfilter : http://netfilter.filewatcher.org/

[edtdd]--Message édité par ethernal--[/edtdd]

super ton lien http://www.knowplace.org/netfilter/syntax.html  
 
moi qui cherchais un truc potable depuis un moment

trop bien en effet. Il va se retrouver en bonne place dans la section liens de mon site.

Merci BCP pour ton aide, je m'en occupe ce soir.
Le lien est excellent aussi !

de rien ;-)
 
A propos d'un diagramme complet, sur la liste netfilter ils disent que celui ci est le plus complet, mais je n'ai jamais réussi à y accéder
si qq y arrive qu'il sauve le schéma et le post ici ce serait sympa    
http://ods.dyndns.org/ipt_flow.html
 
Si tu utilises rp-pppoe en kernel mode (aec le plugin rp-pppoe.so), tu n'auras pas accès (à partir de ton réseau local) à certains site qui envoient des paquets trop gros. Si c'est le cas, lis ces pages pour résoudre ce problème :
http://www.worldgate.ca/~marcs/mtu/
http://www.hgfelger.de/mss/mss.html
 
Liens qui pourraient t'être utiles pour mettre au point ton firewall :
Les Type Of Service : http://asg.web.cmu.edu/rfc/rfc1349.html
Les propriétés du noyau : http://www.linuxhq.com/kernel/v2.4 [...] l.txt.html
Les types d'icmp : http://www.iana.org/assignments/icmp-parameters