A'y est !! Voici enfin le script rc.firewall qui me permet de configurer un firewall pour faire du partage de connexion, du port forwarding des ports 80 et 21 et qui est complètement transparent pour le serveur web et ftp qui sont derriere le firewall.
On peut encore beaucoup l'ameliorer notamment au niveau du comportement par défaut qui est trop... gentil ! :) echo -e "\n\nChargement des règles du firewall..\n" IPTABLES=/sbin/iptables EXTIF="ppp0" INTIF="eth0" echo " Activation du forwarding..." echo "1" > /proc/sys/net/ipv4/ip_forward echo " Activation du support pour les adresses ip dynamiques..." echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo " Effacement des règles et insertion du comportement par défaut..." $IPTABLES -P INPUT ACCEPT $IPTABLES -F INPUT $IPTABLES -P OUTPUT ACCEPT $IPTABLES -F OUTPUT $IPTABLES -P FORWARD ACCEPT $IPTABLES -F FORWARD $IPTABLES -t nat -F ################## #Serveur http interne# ################## echo " Activation de la redirection vers le serveur http interne..." PORTFWIP="192.168.0.5" EXTIP=`ifconfig $INTIF | grep inet | cut -d":" -f2 | cut -d" " -f1` INTIP=`ifconfig $EXTIF | grep inet | cut -d":" -f2 | cut -d" " -f1` $IPTABLES -t nat -A PREROUTING -d $INTIP -p tcp --dport 80 -j DNAT --to-destination $PORTFWIP:80 $IPTABLES -t nat -A PREROUTING -d $INTIP -p tcp --dport 21 -j DNAT --to-destination $PORTFWIP:21 $IPTABLES -t nat -A PREROUTING -d $EXTIP -p tcp --dport 80 -j DNAT --to-destination $PORTFWIP:80 $IPTABLES -t nat -A PREROUTING -d $EXTIP -p tcp --dport 21 -j DNAT --to-destination $PORTFWIP:21 $IPTABLES -A FORWARD -p tcp --destination-port 80 -m state --state NEW,INVALID -j ACCEPT $IPTABLES -A FORWARD -p tcp --destination-port 21 -m state --state NEW,INVALID -j ACCEPT $IPTABLES -A FORWARD -p tcp --source-port 80 -m state --state RELATED -j ACCEPT $IPTABLES -A FORWARD -p tcp --source-port 21 -m state --state RELATED -j ACCEPT echo " Activation du MASQUERADING..." $IPTABLES -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -s $PORTFWIP/8 -d 0/0 -j SNAT --to-source $INTIP On Monday 03 June 2002 18:08, Dario Spagnolo wrote: > On Monday 03 June 2002 12:24, Vincent Renardias wrote: > > On Sun, 2 Jun 2002, Dario Spagnolo wrote: > > > ayant réussi à mettre Apache derriere le firewall, comment je fais > > > maintenant pour qu'il puisse detecter les adresses ip des visiteurs > > > pour les mettre dans les logs ? Pour l'instant toutes les requetes > > > portent l'adresse du firewall, ce qui est logique puisque c'est le > > > firewall qui les lui donne. > > > J'ai l'impression que je vais encore devoir me battre avec iptables > > > parce que le tcpdump concorde avec les données dans les logs d'apache > > > (unique adresse ip, celle du firewall). > > > Pourtant il y a surement un moyen puisque tous les plus grands serveurs > > > fonctionnent derriere un firewall. > > > > oui, mais non: > > - les grands serveurs fonctionnent souvent derriere un firewall, mais > > celui-ci fait rarement masquerading. > > Ah oui c'est vrai, ils ont l'argent pour acheter des adresses ip publiques > meme pour les machines derriere le firewall ! > > > - la solution la plus simple: mettre un squid configuré en proxy entrant > > sur le firewall, et tirer les stats a partir de ses logs. > > J'appelle pas ça une solution simple ! :) > Par contre j'ai réussi à faire ce que je voulais faire mais ça ne marche > que pour les visiteurs externes au réseau. J'ai compris pourquoi, reste > plus qu'à comprendre comment le rendre possible pour ceux dans le lan aussi > ! Dès que j'aurais trouvé la solution finale je la posterai ici, pour vous > tous et Hervé qui m'a dit etre interessé par la réponse. > > Dario > > > A+ > > ___________________________________________________________________________ >___ ifrance.com, l'email gratuit le plus complet de l'Internet ! > vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... > http://www.ifrance.com/_reloc/email.emailif > > > > Linux-Azur : http://www.linux-azur.org > Désinscriptions: http://www.linux-azur.org/liste.php3 > **** Pas de message au format HTML, SVP **** ______________________________________________________________________________ ifrance.com, l'email gratuit le plus complet de l'Internet ! vos emails depuis un navigateur, en POP3, sur Minitel, sur le WAP... http://www.ifrance.com/_reloc/email.emailif Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
