Je me bagarre depuis plusieurs jours avec iptables, avec l'appui de la
liste confirme (en particulier Olivier et Apollonie, que je remercie beaucoup : ils m'ont vraiment bien fait avancer), sur laquelle il semble ne pas y avoir grand monde aujourd'hui.
Je viens donc crier � l'aide chez les d�butants. Qui sait?...
Ce que j'ai : une machine qui me sert de machine de travail (avec une
liaison ppp0) et que je veux utiliser comme passerelle s�curis�e pour
mon lan (sur eth0)
Ce que je veux. Tout interdire �videment sauf :
- depuis ma passerelle, acc�der � internet pour http, dns, smtp, pop et ssh.
- depuis mon lan, acc�der � internet pour http, dns, smtp, pop et ssh,
mais aussi en plus, � tout service �ventuel sur ma passerelle (http, squid, etc).
J'ai pondu �a et en gros �a marche, mais il y a UNE chose que je n'arrive pas � faire marcher, c'est l'acc�s � mon serveur par ssh depuis internet.
Quelqu'un voit pourquoi?
Merci d'avance
Rosaire
=======================
#------------------------------------------------
# Grand nettoyage de printemps et on bloque tout
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
#------------------------------------------------
# Un peu de r�seau en local tout de m�me
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#------------------------------------------------
# Je fais confiance � mon LAN, mais je ne veux forwarder que certains services (on verra plus loin)
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
#------------------------------------------------
# si connexion d�j� existante => j'accepte ce qui rentre sur ppp0. Cas � part : ssh
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --destination-port ssh -m state --state NEW,ESTABLISHED -j ACCEPT
#------------------------------------------------
# On sort un peu, prudemment, ...
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT --protocol tcp --destination-port 22 -j ACCEPT
#------------------------------------------------
# Il faut qd m�me bien faire sortir les gosses � un moment donn�, non?
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 22 -j ACCEPT
#------------------------------------------------
# Pour vivre heureux, vivons cach�s ...
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
iptables -nvL
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";.
Foire Aux Questions de la liste : http://mdk.mondelinux.org
