règles iptables modifie ma passerelle

règles iptables modifie ma passerelle - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 01-12-2005 à 21:58:18    

slt,
 
je suis sous mandrake, mais la seule façon d'activer le partage de connexion internet avec mon lan wifi est de passer par les règles iptables.
 
Mon problème, sur ma passerelle internet (eth0) si j'efface toutes les règles iptables j'ai
 

Code :
  1. iptables -L
  2. Chain INPUT (policy ACCEPT)
  3. target     prot opt source               destination
  4. Chain FORWARD (policy ACCEPT)
  5. target     prot opt source               destination
  6. Chain OUTPUT (policy ACCEPT)
  7. target     prot opt source               destination
  8. [root@ordiyo lionel]# route
  9. Table de routage IP du noyau
  10. Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
  11. 192.168.0.0     *               255.255.255.0   U     0      0        0 wlan0
  12. 82.64.239.0     *               255.255.255.0   U     0      0        0 eth0
  13. 127.0.0.0       *               255.0.0.0       U     0      0        0 lo
  14. default         lns-bzn-29-82-6 0.0.0.0         UG    0      0        0 eth0


 
par contre dès que j'initialise mes tables:
 

Code :
  1. # Initialisation de la table FILTER
  2. iptables -t filter -F
  3. iptables -t filter -X
  4. iptables -t filter -P INPUT   DROP
  5. iptables -t filter -P OUTPUT  DROP
  6. iptables -t filter -P FORWARD DROP
  7. # Initialisation de la table NAT
  8. iptables -t nat -F
  9. iptables -t nat -X
  10. iptables -t nat -P PREROUTING  ACCEPT
  11. iptables -t nat -P POSTROUTING ACCEPT
  12. iptables -t nat -P OUTPUT      ACCEPT
  13. # Initialisation de la table MANGLE
  14. iptables -t mangle -F
  15. iptables -t mangle -X
  16. iptables -t mangle -P PREROUTING  ACCEPT
  17. iptables -t mangle -P INPUT       ACCEPT
  18. iptables -t mangle -P OUTPUT      ACCEPT
  19. iptables -t mangle -P FORWARD     ACCEPT
  20. iptables -t mangle -P POSTROUTING ACCEPT


 
ma passerelle devient
 

Code :
  1. route
  2. Table de routage IP du noyau
  3. Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
  4. 192.168.0.0     *               255.255.255.0   U     0      0        0 wlan0
  5. 82.64.239.0     *               255.255.255.0   U     0      0        0 eth0
  6. 127.0.0.0       *               255.0.0.0       U     0      0        0 lo
  7. default         82.64.239.254   0.0.0.0         UG    0      0        0 eth0


 
et là je n'ai plus d'accès à internet mêmes avec les règles suivantes:
 

Code :
  1. # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  2. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
  3. iptables -t filter -A FORWARD -i wlan0 -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
  4. iptables -t filter -A FORWARD -i eth0 -o wlan0 -s 0.0.0.0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT


 
la question est: pourquoi ma passerelle est modifiée à l'initialisation des tables??

Reply

Marsh Posté le 01-12-2005 à 21:58:18   

Reply

Marsh Posté le 01-12-2005 à 22:02:42    

ta passerelle "change" car la commande route fait la résolution de l'adresse 82.64.239.254 en nom de machine.
quand tu installes tes regles la résolution ne peut se faire donc route met l'adresse


Message édité par l0ky le 01-12-2005 à 22:03:44
Reply

Marsh Posté le 01-12-2005 à 22:06:40    

tous tes modules conntrack sont bien loadé ?

Reply

Marsh Posté le 01-12-2005 à 22:34:47    

comme tu le dis si bien pour la resolution de nom qui n'est pas faite, j'ai ajouté
iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
 
et là ça colle, j'avais trouvé le script de forward et postrouting sur le site de ollivier allard jacquin, et pensais bêtement que le script final était utilisable tel quel juste en modifiant les interfaces

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed