Le Vendredi 17 Janvier 2003 20:22, vous avez �crit : > Cyril ROBERT a �crit : > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Tu ferais aussi bien de virer le script mandrake de partage de > > connection, et ajouter des r�gles iptables pour le partage dans ton > > fichier firewall, �a prend 2 lignes : > > > > iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE > > iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT > > oui c 'est une bonne idee > mieux vaut reoartir de zero a la main > > compte tenu de ma config > connection via ppp > reseau sur eth0 > > je comptAIS essayer ceci > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT > > mais cela ne fonctionne pas , le windows ne peut se connecter > > je peux essyer aussi ceci > > iptables -P INPUT DROP > iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.1/24 -j > MASQUERADE > iptables -A INPUT -s any/0 -i ppp0 -m state --state ESTABLI > SHED,RELATED -j ACCEPT > > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT > > > sans plus de succes > faut il relancer quelque chose aprez les regles iptables ? > j'aimerais bien avoir a la fois samba et la connection... > > merci je te mets ci-dessous le script que j'utilise (j'ai le partage de connexion, mon serveur samba appara�t sur les postes windows et est fonctionnel). Il y un filtrage de base (tu peux tester avec un nmap de qq de s�r, ou alors sur www.hackerwacker.com) J'ai test� le script en local en rempla�ant mon interface vers internet (ppp0) par celle de mon r�seau local (eth0). Plus de windows, plus de ping, rien ne passe). Mais n'�tant pas un sp�cialiste de netfilter/iptables, je souhaiterais des avis �clair�s.
#!/bin/bash # firewall + nat - CC 01-2003 #d�finition variable pour l'interface externe (vers internet) EXTIF=ppp0 #vidage et remise � z�ro chaines iptables -F iptables -X iptables -Z #d�finitions policies par d�faut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici iptables -P OUTPUT ACCEPT #cr�ation de chaine utilisateur log et drop iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqu� : " iptables -A LD -j DROP #cr�ation de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions �tablies ou relatives � une connexion �tablie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait �tre arr�t� par la r�gle pr�c�dente, mais...) iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions �tablies ou relatives iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autoris�es (ssh...) #d�finition des actions (pour ce qui rentre et ce qui traverse la passerelle) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activ�" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activ�" #fin du script tiens-nous au courant. CC
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
