slt,
je suis sous LE2005 (mandrake) et j'ai viré shorewall (interface pour iptable) pour pouvoir activer le forwarding entre mes 2PC relié par wifi.
J'ai donc créé quelques règles me permettant d'activer un firewall les voici:
Code :
- #!/bin/sh
- #
- ###############################################################################
- # NOM: regles-iptables.sh
- #
- ###############################################################################
- # Initialisation de la table MANGLE
- iptables -t mangle -F
- iptables -t mangle -X
- iptables -t mangle -P PREROUTING ACCEPT
- iptables -t mangle -P INPUT ACCEPT
- iptables -t mangle -P OUTPUT ACCEPT
- iptables -t mangle -P FORWARD ACCEPT
- iptables -t mangle -P POSTROUTING ACCEPT
- # Suppression de toutes les chaînes pré-définies de la table FILTER
- iptables -t filter -F
- # Suppression de toutes les chaînes utilisateur de la table FILTER
- iptables -t filter -X
- # Par defaut, toute les paquets de la table FILTER sont détruits
- iptables -t filter -P INPUT DROP
- iptables -t filter -P OUTPUT DROP
- iptables -t filter -P FORWARD DROP
- # AntiSpoofing
- if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
- then
- for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
- do
- echo 1 > $filtre
- done
- fi
- # Autorise l'interface loopback à dialoguer avec elle-même
- iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
- iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
- # Autorise les connexions avec le réseau 192.168.0.0/24 connecté à l'interface wlan0
- iptables -t filter -A OUTPUT -o wlan0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
- iptables -t filter -A INPUT -i wlan0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
- ################################################################################
- # IP masquerading
- ################################################################################
- # Suppression de toutes les chaînes pré-définies de la table NAT
- iptables -t nat -F
- # Suppression de toutes les chaînes utilisateur de la table NAT
- iptables -t nat -X
- # Par defaut, toute les paquets de la table NAT sont ACCEPTES
- iptables -t nat -P PREROUTING ACCEPT
- iptables -t nat -P POSTROUTING ACCEPT
- iptables -t nat -P OUTPUT ACCEPT
- # Activation du NAT dans le kernel
- echo 1 > /proc/sys/net/ipv4/ip_forward
- # On ignore les pings
- # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
- # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
- # Autorise les paquet à aller d'une interface réseau à l'autre
- iptables -t filter -A FORWARD -i wlan0 -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -m state --state ! INVALID -j ACCEPT
- iptables -t filter -A FORWARD -i eth0 -o wlan0 -s 0.0.0.0/0 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
- # Demande à la table NAT de modifier les paquets sortants
- iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
- ################################################################################
- # sécurité passerelle
- ################################################################################
- # résolution de nom
- iptables -A INPUT -i eth0 --protocol udp --source-port 53 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -m state --state NEW,ESTABLISHED -j ACCEPT
- iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -m state --state NEW,ESTABLISHED -j ACCEPT
- # http
- iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
- #https
- iptables -A INPUT -i eth0 --protocol tcp --source-port 443 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 443 -m state --state NEW,ESTABLISHED -j ACCEPT
- # pop3
- iptables -A INPUT -i eth0 --protocol tcp --source-port 110 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 110 -m state --state NEW,ESTABLISHED -j ACCEPT
- # smtp
- iptables -A INPUT -i eth0 --protocol tcp --source-port 25 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 25 -m state --state NEW,ESTABLISHED -j ACCEPT
- # ftp
- iptables -A INPUT -i eth0 --protocol tcp --source-port 21 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 21 -m state --state NEW,ESTABLISHED -j ACCEPT
- #FTP passif
- iptables -A INPUT -i eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
- iptables -A OUTPUT -o eth0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
- # Si Aucunes regles n'est passees on DROP
- iptables -A INPUT -j DROP
- iptables -A OUTPUT -j DROP
- iptables -A FORWARD -j DROP
- echo "terminé"
|
je suis connecté à internet via un micro qui me sert de proxy avec squid et dont le nom est attribué par dyndns.org, donc ds le navigateur j'ai activé le proxy
genre toto.tata.org:3128 et de tps en tps le navigateur bloque plus d'internet, si je configure en accès direct sans passer par le proxy ça marche.
je vois pas trop de quoi ça peut venir, un moment pendant le blocage j'ai fait un ping en root mais javais operation non permise?
j'ai cru tout d'abord à dyndns qui communiquerait sur un port non ouvert, mais d'apres google il n'a pas de port particulier et passe sans doute par :80
enfin si vous avez une idéee
Message édité par lima44 le 06-12-2005 à 19:01:26
FORUM HardWare.fr
