Le Vendredi 6 Juin 2003 16:44, AMORE Rosaire a écrit :
Salut J'ai le réseau suivant : une passerelle que je voudrais utiliser comme firewall avec un lan juste derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. Je voudrais tout DROPper sauf : - accès à Internet depuis ma passerelle ou mon lan - accès depuis n'importe où par ssh. J'ai construit les règles suivantes en m'inspirant du iptables-Howto et du tutorial de lea. Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, car, sans les règles iptables, j'arrive bien sur internet).
C'est normal, il faut utiliser la chaîne FORWARD pour tout ce qui doit traverser la passerelle.
C'est très bien expliqué sur le site de Christian Caleca :
http://christian.caleca.free.fr/netfilter.html
Merci pour le lien (vraiment super!)
Il faut rajouter un "truc" de ce genre là :
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT (comme ça ce n'est pas la peine de gérer les retours de connexion)
Bon, là ça va, sauf que je ne pige pas très bien pourquoi on ne rajoute pas l'état "NEW".
iptables -A FORWARD -o ppp0--protocol tcp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0--protocol udp --destination-port 53 -j ACCEPT iptables -A FORWARD -o ppp0 protocol tcp --destination-port 80 -j ACCEPT
Là aussi : OK. Du coup, j'ai rajouté les FORWARD en udp et tcp pour pop et smtp : du coup ça fonctionne mieux.
Si le serveur ssh est sur la passerelle la chaîne INPUT suffit : iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
Ben ... là, y'a pas moyen. J'arrive pas à passer. Je fais le test à partir de mon lan. Je finis tjs en "time out" après ~1mn. Sur la passerelle elle-même, ça roule : sshd fonctionne.
Et echo 1 > /proc/sys/net/ipv4/ip_forward
Ca c'était fait Rosaire
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"