Configuration d'IPTABLES pour un reseau
Configuration d'IPTABLES pour un reseau - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 02-04-2004 à 11:27:48
je pense qu'il serait bon d'inverser ces deux regles :
#postes user inaccessible depuis internet
iptables -A FORWARD -i $INTERNET -o $DMZUSER -j REJECT
#sauf pour les connexions etablies
iptables -A FORWARD -i $INTERNET -o $DMZUSER -m state --state ESTABLISHED -j ACCEPT
ou de mettre -I au lieu de -A dans la deuxieme
pour #autorisation de transmettre les paquets , je sais pas, ça me semble bon vu d'ici
sinon avec quoi tu as fait ton schéma ?
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 06-04-2004 à 12:34:53
le schéma je l'ai repris de mon sujet donc je peux pas te dire
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Marsh Posté le 06-04-2004 à 12:45:23
Petite question elle a quelle allure ta table de routage ?
Marsh Posté le 06-04-2004 à 12:47:27
la je suis pas sur le pc ou je travail ...
au debut j'ai un script qui vide tt les tables et qui jette tout.
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Marsh Posté le 06-04-2004 à 14:07:56
| _zic_ a écrit : la je suis pas sur le pc ou je travail ... |
Ça m'intéresse de voir comment est gérée ta DMZ.
Marsh Posté le 06-04-2004 à 22:18:18
merci mais je connais deja 
je voulais juste savoir si par rapport a mon schéma et a mon cahier des charges, ce que je fait est une amorce juste ou alors me plante totalement ...
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Marsh Posté le 07-04-2004 à 14:38:25
voila ma table de routage apres le lancement de mon script
| Citation : [root@routeur zic]# iptables -L -n -v |
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Marsh Posté le 08-04-2004 à 08:10:36
up merci
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Marsh Posté le 10-04-2004 à 18:31:53
| _zic_ a écrit : voila ma table de routage apres le lancement de mon script
|
C'est plutôt tes tables de filtrages, ce que voulais c'est le résultat de "netstat -nr" 
Marsh Posté le 13-04-2004 à 19:43:56
C'est bon j'ai compris comment fonctionne "eth0:1"
Je vais me pencher sur ton problème.
Marsh Posté le 10-05-2004 à 19:06:04
merci bcp mais finalement je suis passé par une autre solution
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA
Sujets relatifs:
- Pb connexion au réseau local
- Pb de pilotes de cette carte reseau
- Configuration du réseau wifi...
- script pour mappage de lecteur réseau
- POP3 inaccessible par réseau - Mandrake 10
- squid : diverses questions de configuration (ram, cache_dir, etc)
- Installation & Configuration: PC Firewall sur systeme Unix
- reboot du reseau .... intempestif
- Pb mdk 9.2 + réseau gigabit 3Com 3c940
Marsh Posté le 02-04-2004 à 08:21:55
salut,
voilà j'ai une architecture réseau sous la forme de ce schéma :
- il faudrai que la DMZ et les postes utilisateurs soit invisible d'internet (sauf pour les connexions deja etablies ou en relation)
- seule une ou plusieurs plage d'ip d'utilisateurs on le droit d'acceder au net.
j'ai commencé à faire ca dans mon script :
sh iptablesdefaut
DMZUSER="eth0"
INTERNET="eth1"
IPUSERS="172.17.0.1/172.20.255.254"
#activation du forwading
echo 1 > /proc/sys/net/ipv4/ip_forward
#activation nat ftp
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
#activation du ping
iptables -A INPUT -p icmp -j ACCEPT
#autorisation de la communication des processus locaux sur l'interface locale (lo)
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
#masquage des adresses pour internet
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
# connexions sortantes
# Je veux pouvoir tout faire sur les connexions sortantes
iptables -A FORWARD -i $DMZUSER -o $INTERNET -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o $DMZUSER -i $INTERNET -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# connexions entrantes
# On autorisé les connexions entrantes pour les serveurs de notre machine
# Se réferer à /etc/protocols pour avoir une liste exhaustive
# ftp(21), ssh(22), smtp(25), http(80), https(443), imaps(993)
iptables -A FORWARD -o $DMZUSER -p tcp -m multiport --sports 21,22,25,80,443,993 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $DMZUSER -p tcp -m multiport --dports 21,22,25,80,443,993 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
mais pour #autorisation de transmettre les paquets, je pédale un peu ...
merci de votre aide !
Message édité par _zic_ le 07-04-2004 à 14:58:42
---------------
Mon projet PC Gaming 2000 Athlon SLOT A + Voodoo 5 5500AGP :love: https://www.youtube.com/channel/UCB [...] i2enxMfAQA