Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
877 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Filtrage d'acces à Internet

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Filtrage d'acces à Internet

n°900121
y-master
Cherche bien, tu va trouver :)
Posté le 03-04-2007 à 18:03:08  profilanswer
 

Bonjours les gens, je suis en train de préparer ma paserelle qui servira a fournir internet pendant une lan party, comme j'ai pas fait d'iptables depuis un bail, je vous poste mon script pour avoir vos avis :)
 
Je précise que mes clients sont sur eth0 et que je chope le net sur eth1
 

Code :
  1. iptables -F
  2. iptables -X
  4. iptables -P INPUT DROP
  5. iptables -P OUTPUT DROP
  6. iptables -P FORWARD DROP
  8. iptables -t nat -F
  9. iptables -t nat -X
  11. iptables -t nat -P PREROUTING ACCEPT
  12. iptables -t nat -P POSTROUTING ACCEPT
  13. iptables -t nat -P OUTPUT ACCEPT
  15. iptables -t mangle -F
  16. iptables -t mangle -X
  18. iptables -t mangle -P PREROUTING ACCEPT
  19. iptables -t mangle -P INPUT ACCEPT
  20. iptables -t mangle -P OUTPUT ACCEPT
  21. iptables -t mangle -P FORWARD ACCEPT
  22. iptables -t mangle -P POSTROUTING ACCEPT
  24. iptables -A INPUT -i lo -j ACCEPT
  25. iptables -A OUTPUT -o lo -j ACCEPT
  27. iptables -A INPUT -i eth0 -j ACCEPT
  28. iptables -A OUTPUT -o eth0 -j ACCEPT
  30. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  32. # toutes les connexions qui sortent du LAN vers le net sont refusée
  33. iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j DROP
  35. # serveur et admins
  36. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.10.0/255.255.255.0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  37. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.50.3/255.255.255.0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  39. # joueurs : http/https/ftp
  40. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 20 -j ACCEPT
  41. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 21 -j ACCEPT
  42. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 443 -j ACCEPT
  43. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
  45. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 20 -j ACCEPT
  46. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 21 -j ACCEPT
  47. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 443 -j ACCEPT
  48. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
  50. # connec etablies
  51. iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  53. # requetes DNS locales
  54. iptables -A OUTPUT -o eth1 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
  55. iptables -A INPUT -i eth1 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  57. # remontée des erreur icmp
  58. iptables -A INPUT -p icmp  -m state --state RELATED -j ACCEPT
  60. # pour prob de mtu
  61. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu


Message édité par y-master le 03-04-2007 à 18:21:37
mood
Publicité
Posté le 03-04-2007 à 18:03:08  profilanswer
 

n°900705
y-master
Cherche bien, tu va trouver :)
Posté le 05-04-2007 à 13:34:43  profilanswer
 

mon topic n'a pas bcp de succes...
 
pour la peine je poste la nouvelle version, refaite proprement
 

Code :
  1. iptables -F
  2. iptables -X
  4. iptables -P INPUT DROP
  5. iptables -P OUTPUT ACCEPT
  6. iptables -P FORWARD DROP
  8. iptables -t nat -F
  9. iptables -t nat -X
  11. iptables -A INPUT -i lo -j ACCEPT
  13. iptables -A INPUT -i eth0 -j ACCEPT
  15. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  17. # serveur et admins
  18. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.10.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  19. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.50.3/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  21. # joueurs : http/https/ftp
  22. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 20 -j ACCEPT
  23. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 21 -j ACCEPT
  24. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
  25. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
  27. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 20 -j ACCEPT
  28. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 21 -j ACCEPT
  29. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 443 -j ACCEPT
  30. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 80 -j ACCEPT
  32. # connec etablies
  33. iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  35. # remontée des erreur icmp
  36. iptables -A INPUT -p icmp  -m state --state RELATED -j ACCEPT
  38. # pour prob de mtu
  39. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu
  41. #mon serveur ftp est sur la 2eme interface en gigabit
  42. iptables -A INPUT -i eth2 -p tcp --dport 20 -j ACCEPT
  43. iptables -A INPUT -i eth2 -p tcp --dport 21 -j ACCEPT


 
edit : netmask corriged


Message édité par y-master le 05-04-2007 à 13:48:44

---------------
Don't forget the GNU Power :)   /   LanParty sur Toulouse   /   Mon Feed-Back (2006 style)
n°900713
l0ky
Posté le 05-04-2007 à 13:45:57  profilanswer
 

ben si tu veux, il existe pas mal de topic sur ce sujet donc bon...
sinon 10.0.1.0/32 => ca ne matchera jamais. Je doute que tu aies un équipements avec exactement l'adresse 10.0.1.0

n°900714
y-master
Cherche bien, tu va trouver :)
Posté le 05-04-2007 à 13:47:22  profilanswer
 

oups, j'ai changé sa en speed et j'ai mis /32 a la place de /24
"le manque de sommeil, saï mâl"


---------------
Don't forget the GNU Power :)   /   LanParty sur Toulouse   /   Mon Feed-Back (2006 style)

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Filtrage d'acces à Internet

 

Sujets relatifs
filtrage accés internet par proxy et Iptablesaide sur le routeur cisco 836 et internet
interdir l acces a internet d un pcCisco - accès en rommon seulement
Securité InternetMandriva & Apache accès?
[Resolu] acces interface web neufbox via deux reseaux 
Plus de sujets relatifs à : Filtrage d'acces à Internet

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.052 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR