Je souhaite faire un firewall sous Linux qui servira UNIQUEMENT à protéger l'intranet, et surtout fera le forwarding de certains ports de l'internet vers l'intranet (par ex le 80) avec iptables.

[edtdd]--Message édité par chr_79--[/edtdd]

http://perso.wanadoo.fr/linux_wiza [...] l#iptables

Bon, ok, faut que je sois plus précis:
 J'ai un proxy/firewall (+serveur apache, half-life...) sur mon réseau INTRANET, avec une connexion INTERNET ADSL (c'est lui qui s'occupe du masquerading des machines dans le réseau intranet.
 
Maintenant, je veux intercaler un firewall qui ne fasse que firewall (et qui gère la connexion adsl), avant mon serveur actuel. Le problème, c'est d'arriver a ce que les postes depuis internet, lors de l'envoi d'une requete sur le port 80 soient automatiquement dirigé par le firewall sur le serveur apache.
 
je pense qu'il est possible d'utiliser une commande type iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80
(après plusieurs essais, j'en suis plus aussi sur).
 
Si quelqu'un pouvait me donner une réponse assez précise (pas un lien vers un site rempli de how-to ) ce serait parfait.
merci.

un up ca m interresse (pas pour maintenat mais pour plus tard qd je voudrait faire un truc sur ma machine derriere le firewall)

c'est bien pour le up, mais je crois que le topic n'était pas encore trop bas

[edtdd]--Message édité par chr_79--[/edtdd]

Si y en a qui trouvent ça trop facile, je leur propose de me mettre au point en plus une conversion ipv4/ipv6 (nat-pt ou autre) par le firewall, afin que je passe mon intranet en ipv6.

[edtdd]--Message édité par chr_79--[/edtdd]

Bon une question simple : Linux est payant ?  

[edtdd]--Message édité par chr_79--[/edtdd]

chr_79 a écrit a écrit : Bon une question simple : Linux est payant ?

 
Oui, absolument. Donc tant qu'à faire, autant passer à un système stable, éprouvé, user-friendly, tel que l'excellentissime Windows98 ou encore le turgescent Windows2000. Et pour les nostalgiques, je ne saurai que trop vous conseiller le génial Windows95, qui vous fera revivre avec plaisir cette bonne époque vintage.

faut attendre combien de temps pour avoir une réponse ici ?

Personne n'a envie d'y répondra car tu pourrais le faire toi même et qu'il y a des exmples dans les tutoriaux (cf liens).
Tout les scripts donnés en exemple font ce que tu veux a kelkels nuances près.
 
Sinon tu as des progs pour le faire graphiquement : http://freshmeat.net/search/?site= [...] n=projects

OK, mais tes tutoriaux, c'est pour installer le firewall sur la machine qui gère elle même les serveurs accessibles depuis internet.
 
ce que je veux, c'est que le firewall REDIRIGE la connexion sur un autre ordi derrière lui.
tu as un tutorial sur ce cas de figure ?
 
(en gros je veux: SERVEUR<----->FIREWALL<----->INTERNET)

[edtdd]--Message édité par chr_79--[/edtdd]

pour rediriger la connection tu peux faire du NAT (cas plutot partage de connection) ou du port fowarding ( genre le port 80 vers l'ordi derrière qui est le vrai serveur web). Ton port fowarding utilisera plutot PREROUTING

j'avais proposé :
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:80  
 
plus haut dans le topic, mais personne m'a dit si c'était correct.
 
Tu en pense quoi ?

iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.1.2:80
 
tout ce qui arrive sur eth0 et sur le port 80 est redirigé vers 192.168.1.2 et toujours sur le port 80

Bon, on va pouvoir progresser maintenant
 
Normallement, ça devrai donc marcher, mais le problème, c'est que c'est pas le cas.
tcpdump me donne 'FW.PRIV.http > AS.PRIV.http: S 14750750:14750750(0) win 8192 <mss 1460,nop,nop,sackOK> (DF)'
 
FW.PRIV.http est le firewall, AS.PRIV.http est le serveur Apache.
 
(pour le test, iptables -F et POLICIES ACCEPT en input et output)
 
Ou est le problème ?

Bon je suis obligé de me répondre ;)
 
Le problème que j'ai recontré, après une petite analyse semble venir du fait qu'il est impossible de vérifier le bon fonctionnement de mon reroutage nat depuis l'interieur de mon firewall.
 
Voici le schéma très simlplifié du test:
 
PC1(client http)<------|
                                |---->Firewall+rerouteur<----->Internet
PC2(serveur http)<----|
 
 
1.PC1 envoie un requete au Firewall
2.Firewall reroute vers PC2
3.PC2 réponds à PC1 DIRECTEMENT, sans passer par de Firewall
 
Conclusion: PC1 attends la réponse du Firewall sans l'avoir.
 
En gros, faut faire les tests directement depuis le net.
(Si je me plante complètement, vous me le dites)

[edtdd]--Message édité par chr_79--[/edtdd]