On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote: > Bonjour, > > Ma config est la suivante: > > LAN: 192.168.0.0/24 > GW: 192.168.0.3/24 > > > LAN ------ eth1 ----- GW ----eth1----- modem ADSL -------- INET > > Le but est de faire un fw ipchains permettant aux LAN d'effectuer des > connections vers internet > mais la GW doit rester inaccessible depuis l'exterieur > > Bref du grand classique > > Il y a une chose que je ne m'explique pas, ma machine GW reste > exposée a 100% avec mes regles ipchains (voir ci dessous) > et ce comme me le montre un scan de port ou des tentatives de ssh > depuis l'exterieur.... > > Pouvez vous m'indiquer ce que je fais mal (pas ?) > D'avance merci pour votre aide au combien precieuse :-) > > > Fichier fw_init.sh > --------------------------------------------------------------------- > --------------- > #!/bin/sh > > ipchains="/sbin/ipchains" > > $ipchains -F > $ipchains -X > $ipchains -P input ACCEPT > $ipchains -P forward ACCEPT > $ipchains -P output ACCEPT > > # MASQ > ipchains -I forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0 > > # Deny all input on ifnet > $ipchains -A input -s 0.0.0.0/0 -d 192.168.0.2 -p all -j DENY -i > eth0 > $ipchains -A output -s 192.168.0.2 -d 192.168.0.3 -p tcp -j > ACCEPT -i eth1 > $ipchains -A input -s 192.168.0.3 -d 192.168.0.2 -p tcp -j > ACCEPT -i eth1 > $ipchains -A output -s 192.168.0.2 -d 192.168.0.3 -p udp -j > ACCEPT -i eth1 > $ipchains -A input -s 192.168.0.3 -d 192.168.0.2 -p udp -j > ACCEPT -i eth1 > ---------------------------------------------------------------------
Selon Chacun la politique de securite sera tres differente, en principe un bon debut est de dire j'interdit tout: ${prg} -F ${prg} -P input DENY ${prg} -P output DENY ${prg} -P forward DENY Ensuite tu vas definir les packets entrants, sortants, forwardes, masques selon les adresses, protocoles et les ports. exemple: ipchains -A input -j ACCEPT -p tcp -s ${default} 1024:65535 \ -d ${inetip} ${name} Donc dans ton cas il manque les ports ! Comme je le disais hier j'ai debute avec des scripts a la main, tres long et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes qui marche bien. Bonne chance Tony > --------------------- > > > > _________________________________________________________ > Do You Yahoo!? > Get your free @yahoo.com address at http://mail.yahoo.com > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- Tony Schonfeld * F5GIT * Phone: +33 675 236 530 Email: [EMAIL PROTECTED] - WWW: http://www.schonfeld.eu.org -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]