Le 12186i�me jour apr�s Epoch, Fran�ois Boisson �crivait: > Je pense que tu t'y prends mal, commence par faire les r�gles minimales de > transfert:(sortie suppos�e sur ppp0) > > > # iptables -t nat -F > # iptables -F INPUT > # iptables -F OUTPUT > # iptables -F FORWARD > # iptables -P INPUT ACCEPT > # iptables -P OUTPUT ACCEPT > # iptables -P FORWARD ACCEPT
Mettre la valeur par d�faut � accept me semble un peu dangereux... Je suis parti du principe de tout dropper par d�faut, et puis j'ouvre au fur et � mesure des besoins. Ensuite, j'ai cr�� une chaine nomm�e CONNECTED, de la fa�on suivante: $ipt -N CONNECTED $ipt -A CONNECTED -m state --state NEW -o ppp0 -j ACCEPT $ipt -A CONNECTED -m state --state NEW -o eth0 -j ACCEPT $ipt -A CONNECTED -m state --state ESTABLISHED,RELATED -j ACCEPT Qui accepte donc tout ce qui sort de la machine par ppp0 ou eth0 (Le net et mon brin r�seau interne), ou qui est relatif � �a... Puis trois r�gles du genre: $ipt -A INPUT -j CONNECTED $ipt -A OUTPUT -j CONNECTED $ipt -A FORWARD -j CONNECTED Qui n'acceptent que ce qui matche le status CONNECTED et enfin une r�gle de mascarade: $ipt -t nat -A POSTROUTING -s xxx.yyy.zzz.0/24 -o ppp0 -j MASQUERADE o� xxx.yyy.zzz.0 est mon r�seau local classe C. > # echo "1" > /proc/sys/net/ipv4/ip_forward Oui, bien s�r, ou alors dans le fichier de config /etc/network/options ip_forward=yes -- Lisez la FAQ: http://savannah.nongnu.org/download/debfr-faq/html/ -- Fran�ois TOURDE - tourde.org - 23 rue Bernard GANTE - 93250 VILLEMOMBLE T�l: 01 49 35 96 69 - Mob: 06 81 01 81 80 eMail: mailto:[EMAIL PROTECTED] - URL: http://francois.tourde.org/
