Salut,
Eric Reinbold a �crit :
Fabrice Chaillou a �crit :
Apr�s quelques bidouilles acrobatiques, voil� que j'ai vid� toutes mes r�gles d'iptables...
Comme c'�tait avant bourr� de r�gles que je ne me souvenais pas avoir install�es, qui v�rifiaient l'int�grit� des paquets par exemple. Je sais grosso modo ouvrir ou fermer tel ou tel port, mais l� �a d�passait largement mes comp�tences.
Je pensais pouvoir les r�cup�rer en r�installant iptables. Or non.
Normal, Le paquetage iptables ne cr�e aucune r�gle par lui-m�me. Soit tu as mauvaise m�moire, ;-) soit tu as install�/utilis� un gestionnaire de firewall de niveau sup�rieur comme Shorewall par exemple qui avait cr�� ces r�gle.
Donc ma question : y a-t-il un "jeu de r�gles" minimum ou par d�faut quelque part ?Si ca peut t'aider...
[...]
############################################################################### # R�gles de connexion au reseau local ###############################################################################
# Connexions firewall <-> r�seau
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.1 -d 192.168.1.0/24 -p all -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.1 -p all -j ACCEPT
# Connexions firewall <-> broadcast r�seau
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.1 -d 192.168.1.255 -p all -j ACCEPT
Redondant avec la r�gle OUTPUT pr�c�dente.
iptables -t filter -A INPUT -i eth0 -s 192.168.1.255 -d 192.168.1.1 -p all -j ACCEPT
Redondant avec la r�gle INPUT pr�c�dente. De toute fa�on, la pile IP devrait ignorer ces paquets car une adresse de broadcast n'est pas une adresse source valide.
############################################################################### # R�gles de connexion � Internet ###############################################################################
iptables -t filter -A OUTPUT -o ppp0 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
Remarque g�n�rale : les -p all et les -s ou -d 0.0.0.0/0 alourdissent l'�criture sans apporter d'information, on peut s'en passer.
############################################################################### # R�gles pour le port forwarding ###############################################################################
iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT
M�me si la r�gle DNAT ci-dessous redirige tout le trafic HTTP entrant vers le serveur local, il vaut mieux n'autoriser les paquets que vers la seule adresse de celui-ci.
iptables -t filter -A FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
Pas d'�tat RELATED en HTTP, ESTABLISHED suffit. D'autre part cette r�gle est redondante avec la r�gle de masquerading global.
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1
Je ne comprends pas bien, 192.168.1.1 est l'adresse du serveur web ou l'adresse interne de la passerelle (d'apr�s les r�gles INPUT et OUTPUT) ?
D'autre part, c'est une bonne id�e de remplacer les adresses en dur par des variables d�finies en d�but de script, �a am�liore la lisibilit� et la maintenabilit�.
iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.1 -p tcp --dport 80 -j SNAT --to-source 192.168.1.1
Quelle est au juste la fonction de cette r�gle ?
PS: ces r�gles bloquent les ping et traceroute, c'est une mauvaise id�e quand on h�berge des services en plus d'�tre inutile (un serveur web n'a pas de raison de se cacher).
-- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench
Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
