Bonjour,  
je suis nouveaux sur l'utilisation de linux et je voudrais appliquer le Firewall (iptables) sur mon reseuax  
mon reseux est comme suite:  
pcinterne : 192.168.10.10  
Firewall : 192.168.10.1 (eth0) et 10.21.0.1 (eth1)  
pcexterne : 10.21.0.21  
 
pcinterne--------eth0---Firewall---eth1--------pcexterne  
 
192.168.10.10-----192.168.10.1 || 10.21.0.1---------10.21.0.21  
 
j'utilise le Firewall iptables sur un machine linux comme suite:  
-j'autorise la machine pcinterne (réseaux local) à effectuer un ping (icmp type 8) sur la machine pcexterne (réseaux distant) (qui répondra par icmp type 0).  
 
 
-j'ai activer le routage:  
#echo "1" > /proc/sys/net/ipv4/ip_forward  
 
-puis DROP pour tt:  
#iptables -P INPUT DROP  
#iptables -P OUTPUT DROP  
#iptables -P FORWARD DROP  
 
-autoriser le ping  
#iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  
#iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
je sais bien que cette config n est pas suffisant et ne marche pas, mais si je fais la meme chose pour la chaine FORWARD au lieu de INPUT et OUTPUT:  
 
#iptables -A FORWARD -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  
#iptables -A FORWARD -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
ca fctionne bien, dans ce cas je sais pas si j'ai securiser au max mon reseaux (ne rien laisser passer sauf le ping).  
merci de me corriger l'erreur.

je pense que la chaine FORWARD est la correct parce que j'utilise le firewall linux qui n'entre pas en communication entre les 2 autres machines. maintenant j'ai un problème pour reussir la communication par le FTP
 
 
 
merci si vous avez un solution

Renseigne toi sur comment fonctionne le protocole FTP (mode passif/actif) et sur les modules conntrack de netfilter pour le suivi de connexion pour ftp
sinon oui :
  - forward = chaine qui est regardé pour le traffic qui routé à travers l'équipement
  - input/output = chaines qui sont regardés pour le traffic à destination de l'équipement.

Déjà, c'est sûr, FORWARD c'est bien la chaîne qu'il faut configurer pour laisser passer ICMP à travers le routeur.    
 
Mais à priori c'est pas trop mal tes règles pour le ping
 
précision pour FTP : dans le chargement des modules au démarrage de iptable, il faut ajouter dans le fichier iptables-config, les modules ip_conntrack_ftp et ip_nat_ftp (dans le cas d'un routage avec un NAT sur l'if externe) pour envoyer les requêtes sur le port tcp 21 du serveur qui va ensuite répondre depuis son port tcp 20 (ça c'est pour le mode actif) attention tu dois autoriser les machines du réseau interne à traverser le port tcp 21 de l'intérieur vers l'extérieur dans la chaine FORWARD, les modules s'occuperont du reste (la réponse du server qui initie la réponse depuis son tcp 20) sans avoir à ajouter d'autres règles.

j ai fait cette solution:
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.21 -d 192.168.10.10 -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.21 -d 192.168.10.10 -p tcp --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 12000:12010 -m state --state ESTABLISHED,RELATED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.10 -d 192.168.10.10 -p tcp --sport 12000:12010 --dport 1024: -m state --state ESTABLISHED -j ACCEPT  
 
le 12000:12010 sont les ports du serveur ftp pour le mode passive et peuvent etres changees dans vsftpd.conf comme ca:
pasv_enable=YES          
pasv_max_port=12000    
pasv_min_port=12010
 
merci