Bonjour � tous, J'ai un petit probleme avec la config iptables de mon serveur NAT/firewall.
Config : modem cable france telecom cable PPPOE petit serveur debian avec deux cartes reseau. Il fait office de serveur NAT (routeur) et de firewall. Windows 2000 sur une autre machine. Tout fonctionne. page web pas de pb irc pas de pb news pas de pb SSH pas de pb. Voila le gros hic. Si je lance un jeu sur le 2000 starwars battleground pour ne pas le cit� impossible de jouer en reseau tcp ip a travers le net :((( Ne me dites pas que c'est peut etre la config du jeu ou de windobe ca fonctionne tres bien si je branche le modem directement sur cette becane. Y a t'il des r�gles particulieres a mettre en place ds mon scrypt iptable ? Voici ma config pour info : (si vous voyez quelque chose qui cloche n'hesitez pas :) ) #!/bin/sh #Script "iptables.sh # Suppression des chaines : iptables -F # Suppression d'�ventuelles chaines personnelles : iptables -X # Suppression des r�gles NAT iptables -t nat -F # Par d�faut iptables -P INPUT DROP iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT # M�me choses avec toutes les autres tables, # A savoir "nat" et "mangle" iptables -t nat -F iptables -t nat -X iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT iptables -t nat -P OUTPUT ACCEPT iptables -t mangle -F iptables -t mangle -X iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P INPUT ACCEPT iptables -t mangle -P FORWARD ACCEPT iptables -t mangle -P POSTROUTING ACCEPT # ON LOGGUE LES PACKETS DROPES iptables -N LOG_DROP iptables -A LOG_DROP -j LOG --log-prefix '[iptables log] : ' iptables -A LOG_DROP -j DROP #REGLE DE FILTRAGE #AUTORISATION ACCES COMPLET SUR LES INTERFACES LES RESTRICTIONS SONT SUR ppp0 # Autorisation LoopBack (machine locale) iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A FORWARD -i lo -j ACCEPT iptables -A FORWARD -o lo -j ACCEPT # Autorisation interface Eth0 (Interface lan) iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT iptables -A FORWARD -o eth0 -j ACCEPT # Autorisation des r�ponses associ�es au trafic sortant iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Autorisation FTP iptables -A INPUT -p tcp --dport 20 -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j ACCEPT iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT # Acc�s SSH depuis le Net iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT # Autorisation des envois SMTP locaux iptables -A INPUT -i ppp0 -p tcp --sport 25 --dport 1024: -m state --state RELAT ED,ESTABLISHED -j ACCEPT # Autorisation des requ�tes DNS locales iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024: -m state --state RELAT ED,ESTABLISHED -j ACCEPT # Autorisation Serveur HTTP iptables -A INPUT -p tcp --dport 80 -j ACCEPT # Autorisation ping iptables -A INPUT -p icmp -j ACCEPT # Autorisation multicast iptables -A INPUT -p igmp -j ACCEPT # Autorisation IRC iptables -A INPUT -p tcp --dport 6667 -j ACCEPT #Autorisation Starwars BattleGround #iptables -A INPUT -p tcp --dport 1301 -j ACCEPT #REGLE PARTAGE DE CONNECTION NAT # Translation d'adresses pour tout ce qui traverse la passerelle # en sortant par ppp0 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE #iptables -A PREROUTING -t nat -p udp -i eth0 --dport 1301 -j DNAT --to 192.168. 0.5:1301 ===> **j'avais essay� ca mais a priori je dois pas etre sur la bonne piste. #REGLE FORWARDING # Toutes les connexions qui sortent du LAN vers le Net sont accept�es #iptables -A FORWARD -i lo -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j A CCEPT iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # Seules les connexions d�j� �tablies sont accept�es venant du Net vers le LAN #iptables -A FORWARD -i ppp0 -o lo -m state --state ESTABLISHED,RELATED -j ACCEP T iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCE PT #Chargement modules suppl�mentaires pour FTP et IRC modprobe ip_conntrack_ftp modprobe ip_conntrack_irc #On loggue tout via SYSLOGD #iptables -A INPUT -j LOG_DROP #Activation des r�gles de filtrage a chaque d�marrage /etc/init.d/iptables save active ~ D'avance merci, Alex.
