Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a �crit : > Salut > J'ai le r�seau suivant : > une passerelle que je voudrais utiliser comme firewall avec un lan juste > derri�re sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > Je voudrais tout DROPper sauf : > - acc�s � Internet depuis ma passerelle ou mon lan > - acc�s depuis n'importe o� par ssh. > J'ai construit les r�gles suivantes en m'inspirant du iptables-Howto et > du tutorial de lea. > Ca marche depuis ma passerelle mais rien depuis mon lan (bien configur�, > car, sans les r�gles iptables, j'arrive bien sur internet).
C'est normal, il faut utiliser la cha�ne FORWARD pour tout ce qui doit traverser la passerelle. C'est tr�s bien expliqu� sur le site de Christian Caleca : http://christian.caleca.free.fr/netfilter.html Il faut rajouter un "truc" de ce genre l� : iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme �a ce n'est pas la peine de g�rer les retours de connexion) iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT Si le serveur ssh est sur la passerelle la cha�ne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT Et echo 1 > /proc/sys/net/ipv4/ip_forward au cas o� le noyau n'autoriserait pas le routage par d�faut ; mais le probl�me ne doit pas provenir de l� puisque si le firewall n'est pas activ� le r�seau local acc�de � Internet ! > ========================= > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -nL # verif > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -nL > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -nL > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > --state NEW,ESTABLISHED -j ACCEPT > iptables -nL > #iptables -A INPUT --protocol tcp --source-port 22 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > ========================= > Une id�e? > Rosaire -- Cordialement, Apollonie Raffalli [EMAIL PROTECTED] Lyc�e Laetitia Bonaparte Ajaccio http://btsig-llb.homelinux.com
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
