Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1685 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  iptables script particulier

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

iptables script particulier

n°32867
die488
Posté le 03-10-2001 à 21:20:52  profilanswer
 

Je sais que j'arrête pas de vous faire chier avec iptables mais bon, grace à vous j'ai déjà beaucoup appris ;) alors je continue...
je voudrais avoir un script qui permettrait à ma passerelle serveur de n'ecouter que sur certains ports et de forwarder tout le reste.
Elle écouterait sur le 21,22,80,953,3306 ; tout le reste passerait sur le réseau (sauf un deny total du 23).
Y'a moyen de faire ca ?
Merci d'avance

mood
Publicité
Posté le 03-10-2001 à 21:20:52  profilanswer
 

n°32899
ethernal
Chercheur de vérité...
Posté le 04-10-2001 à 01:25:01  profilanswer
 

oui, c'est possible sans problème.
Désolé, mais faire un script complet pour toi, c'est pas faisable, après, un autre va en demander un, puis un autre, et qq passera son temps à faire des scripts iptables... (j'espère que tu me comprends)
 
Sinon, pour les conseils, va voir sur http://www.linuxguruz.org/iptables/ .
J'y ai pris le script http://www.linuxguruz.org/iptables [...] ll_004.txt qui est une bonne base et l'ai modifié pour ma conso personelle.
Si tu le veux...
 
Le schéma (presque complet, il manque juste la chaine -t nat output)issu de http://www.knowplace.org/netfilter/syntax.html pourra certainement t'aider dans ta compréhension.
 
Sinon, faits bien attention à avoir les  
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP # pas indispensable à toi de voir si tu veux empêcher l'accès de ton réseau à certains services sur le web.
 
La table -t nat ne tient compte que du paquet de données de la première connection.  La règle appliquée pour ce premier paquet sera appliquée à tous les autres paquets de cette connection.  C'est donc utile pour le bloquage du spoofing, des adresses de classes A,B,C,D et réservée entrant sur ton réseau.  Ne pas l'utiliser pour les problèmes de fragmentation, ...
 
N'accèpte pas de connection, provenant d'internet sur ta paserelle et encore moins sur ton réseau, sur les port < 1023] si tu n'as pas de serveur!!
 
Je vois que tu veux autoriser les ports 21,22,3306 entre autre... Réfléchis à ce que tu veux faire.  Veux-tu les rendre accessible à ton réseau ou à internet ? La différence est grande ;-)
 
Si tu as des questions plus précise je suis à ta disposition.
 
Site de netfilter : http://netfilter.filewatcher.org/

 

[edtdd]--Message édité par ethernal--[/edtdd]

n°32900
nicotine
Posté le 04-10-2001 à 02:41:26  profilanswer
 

super ton lien http://www.knowplace.org/netfilter/syntax.html  
 
moi qui cherchais un truc potable depuis un moment :D


---------------
Do androïds dream of electric sheep ?
n°32906
Dark_Schne​ider
Close the World, Open the Net
Posté le 04-10-2001 à 03:58:08  profilanswer
 

trop bien en effet. Il va se retrouver en bonne place dans la section liens de mon site.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°32907
die488
Posté le 04-10-2001 à 07:47:31  profilanswer
 

Merci BCP pour ton aide, je m'en occupe ce soir.
Le lien est excellent aussi !

n°32938
ethernal
Chercheur de vérité...
Posté le 04-10-2001 à 12:13:38  profilanswer
 

de rien ;-)
 
A propos d'un diagramme complet, sur la liste netfilter ils disent que celui ci est le plus complet, mais je n'ai jamais réussi à y accéder :(
si qq y arrive qu'il sauve le schéma et le post ici ce serait sympa  :)  
http://ods.dyndns.org/ipt_flow.html
 
Si tu utilises rp-pppoe en kernel mode (aec le plugin rp-pppoe.so), tu n'auras pas accès (à partir de ton réseau local) à certains site qui envoient des paquets trop gros. Si c'est le cas, lis ces pages pour résoudre ce problème :
http://www.worldgate.ca/~marcs/mtu/
http://www.hgfelger.de/mss/mss.html
 
Liens qui pourraient t'être utiles pour mettre au point ton firewall :
Les Type Of Service : http://asg.web.cmu.edu/rfc/rfc1349.html
Les propriétés du noyau : http://www.linuxhq.com/kernel/v2.4 [...] l.txt.html
Les types d'icmp : http://www.iana.org/assignments/icmp-parameters


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  iptables script particulier

 

Sujets relatifs
Comment faire une PAUSE dans un script Unixprobleme iptables
Pb iptables : Nvo kernel needed ?port redirect mais pas 23 avec iptables
Iptables accepter des ports?????problème de script
-- --- -----> Script de reco adsl sous debian !iptables
iptables et msn gaming zoneVPN & iptables ..... & voix sur ip
Plus de sujets relatifs à : iptables script particulier


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR