> J'ai deja regarde la doc de iptable mais je ne suis absolument pas a l'aise
> avec ce soft. Quelqu'un aurait-il un soft cool pour configure mon firewall
> ou mieux un bon script que je pourrais appliquer. Je voudrais autoriser le
> plus de protocols possibles mais surtout eviter les connections venant de
> l'exterieur.
Voici mon script
Tu peux t'en inspirez
#!/bin/sh
#Je vide toutes les ancienne regles
/root/./flushfirewall
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Je veux pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# on va charger quelques modules suppl�mentaires pour
# g�rer la translation d'adresse, l'IRC et le FTP
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
#Je refuse tous par d�fault
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Pour �viter les probl�mes, on va tout accepter sur
# la machine en local (interface lo).
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#J'acceppte que 2 machines puisse se conecter sur mon firewall
iptables -A INPUT -i eth0 -s 192.168.0.5 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.5 -m state --state ESTABLISHED -p tcp
--sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED -p
tcp --sport 22 -j ACCEPT
#Le lan qui es sur eth0 as acc�s au web
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth0 -i ppp0 -j ACCEPT
# Il faut permettre � l'ensemble du LAN de dialoguer
# sur internet avec la m�me adresse IP
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
# Pour faire flatter mon �gau ;-)
echo "Maitre vous pouvez vous servir de votre connexion"
# c'est enfin fini
Second script flushfirewall
!/bin/sh
# On remet la police par d�faut � ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# On remet les polices par d�faut pour la table NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# On vide (flush) toutes les r�gles existantes
iptables -F
iptables -t nat -F
# Et enfin, on efface toutes les cha�nes qui ne
# sont pas � defaut dans la table filter et nat
iptables -X
iptables -t nat -X
# Pour faire flatter mon �gau ;-)
echo "Maitre je viens de vider les regles que vous m'aviez donn�"
Bref voila mes 2 script et il marche tres bien
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
