Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a �crit :
Salut J'ai le r�seau suivant : une passerelle que je voudrais utiliser comme firewall avec un lan juste derri�re sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. Je voudrais tout DROPper sauf : - acc�s � Internet depuis ma passerelle ou mon lan - acc�s depuis n'importe o� par ssh. J'ai construit les r�gles suivantes en m'inspirant du iptables-Howto et du tutorial de lea. Ca marche depuis ma passerelle mais rien depuis mon lan (bien configur�, car, sans les r�gles iptables, j'arrive bien sur internet).
C'est normal, il faut utiliser la cha�ne FORWARD pour tout ce qui doit traverser la passerelle.
C'est tr�s bien expliqu� sur le site de Christian Caleca :
http://christian.caleca.free.fr/netfilter.html
Merci pour le lien (vraiment super!)
Il faut rajouter un "truc" de ce genre l� :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme �a ce n'est pas la peine de g�rer les retours de connexion)
Bon, l� �a va, sauf que je ne pige pas tr�s bien pourquoi on ne rajoute pas l'�tat "NEW".
iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT
L� aussi : OK. Du coup, j'ai rajout� les FORWARD en udp et tcp pour pop et smtp : du coup �a fonctionne mieux.
Si le serveur ssh est sur la passerelle la cha�ne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Ben ... l�, y'a pas moyen. J'arrive pas � passer. Je fais le test � partir de mon lan. Je finis tjs en "time out" apr�s ~1mn. Sur la passerelle elle-m�me, �a roule : sshd fonctionne.
Et echo 1 > /proc/sys/net/ipv4/ip_forward
Ca c'�tait fait Rosaire
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
