matrik |
J'habite dans une résidence étudiante et nous sommes une douzaine en reseau. Un routeur sous debian s'occupe de faire le partage de connexion.
Cet apres-midi g commence a m'occupper du script firewall car depuis la mise en place du routeur on ne faisait que de du partage basique qui il faut le dire n'est pas trop sécurisé. De plus l'interet est de limiter le dl par P2P pdt al journée.
tout marche bien a part la restriction de ports, en effet j'ai essaye pas mal de chose mais c du tout ou rien à chake fois.
Donc jaimerais autoriser a passer du lan au net seulement les ports les plus utilisés comme WWW, pop, smtp ,irc et autres IM
G essayer de faire ces restrictions sur toutes les tables mais ca en marche pas
voila mon script firewall:
Code :
- #!/bin/sh
- # Nous vidons les chaînes :
- iptables -F
- # Nous supprimons d'éventuelles chaînes personnelles :
- iptables -X
- # Nous les faisons pointer par défaut sur DROP
- iptables -P INPUT DROP
- iptables -P OUTPUT DROP
- iptables -P FORWARD DROP
- # Nous faisons de même avec toutes les autres tables,
- # mais en les faisant pointer
- # par défaut sur ACCEPT. Ca ne pose pas de problèmes
- # puisque tout est bloqué au niveau "filter"
- iptables -t nat -F
- iptables -t nat -X
- iptables -t nat -P PREROUTING ACCEPT
- iptables -t nat -P POSTROUTING ACCEPT
- iptables -t nat -P OUTPUT ACCEPT
- # Nous considérons que la machine elle même est sûre
- # et que les processus locaux peuvent communiquer entre eux
- # via l'interface locale :
- iptables -A INPUT -i lo -j ACCEPT
- iptables -A OUTPUT -o lo -j ACCEPT
- # On drop le telnet depuis le lan et le net
- iptables -I INPUT -i ppp0 -p tcp --dport 23 -j DROP
- iptables -I INPUT -i eth0 -p tcp --dport 23 -j DROP
- # On coupe SWAT
- iptables -I INPUT -i eth0 -p tcp --dport 901 -j DROP
- iptables -I INPUT -i ppp0 -p tcp --dport 901 -j DROP
- # On coupe le SSH en lan et depuis le net
- iptables -I INPUT -i ppp0 -p tcp --dport 22 -j DROP
- iptables -I INPUT -i eth0 -p tcp --dport 22 -j DROP
- # On autorise 2 ip pour le ssh local
- iptables -I INPUT -i eth0 -s 192.168.0.3 -p tcp --dport 22 -j ACCEPT
- iptables -I INPUT -i eth0 -s 192.168.0.4 -p tcp --dport 22 -j ACCEPT
- # Nous considérons que notre réseau local est sûr
- iptables -A INPUT -i eth0 -j ACCEPT
- iptables -A OUTPUT -o eth0 -j ACCEPT
- # Translation d'adresses pour tout ce qui traverse la passerelle
- # en sortant par ppp0
- iptables -t nat -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.3 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.4 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.5 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.6 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.7 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.8 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.9 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.10 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
- iptables -t nat -A POSTROUTING -s 192.168.0.12 -o ppp0 -j MASQUERADE
- # Toutes les connexions qui sortent du LAN vers le Net
- # sont acceptées
- iptables -A FORWARD -i eth0 -o ppp0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
- # Seules les connexions déjà établies ou en relation avec
- # des connexions établies sont acceptées venant du Net vers le LAN
- iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
- # Autorisation des requêtes DNS locales
- iptables -A OUTPUT -o ppp0 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
- iptables -A INPUT -i ppp0 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
|
et voici le résultat d'un iptables-save:
Code :
- # Generated by iptables-save v1.2.6a on Thu Mar 6 23:15:26 2003
- *filter
- :INPUT DROP [247:15185]
- :FORWARD DROP [0:0]
- :OUTPUT DROP [1:40]
- -A INPUT -s 192.168.0.4 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
- -A INPUT -s 192.168.0.3 -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
- -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
- -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j DROP
- -A INPUT -i ppp0 -p tcp -m tcp --dport 901 -j DROP
- -A INPUT -i eth0 -p tcp -m tcp --dport 901 -j DROP
- -A INPUT -i eth0 -p tcp -m tcp --dport 23 -j DROP
- -A INPUT -i ppp0 -p tcp -m tcp --dport 23 -j DROP
- -A INPUT -i lo -j ACCEPT
- -A INPUT -i eth0 -j ACCEPT
- -A INPUT -i ppp0 -p udp -m udp --sport 53 --dport 1024:65535 -m state --state RELATED,ESTABLISHED -j ACCEPT
- -A FORWARD -i eth0 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
- -A FORWARD -i ppp0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
- -A OUTPUT -o lo -j ACCEPT
- -A OUTPUT -o eth0 -j ACCEPT
- -A OUTPUT -o ppp0 -p udp -m udp --sport 1024:65535 --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
- COMMIT
- # Completed on Thu Mar 6 23:15:26 2003
- # Generated by iptables-save v1.2.6a on Thu Mar 6 23:15:26 2003
- *nat
- :PREROUTING ACCEPT [2946:146939]
- :POSTROUTING ACCEPT [6:400]
- :OUTPUT ACCEPT [6:400]
- -A POSTROUTING -s 192.168.0.1 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.2 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.3 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.4 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.5 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.6 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.7 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.8 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.9 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.10 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.11 -o ppp0 -j MASQUERADE
- -A POSTROUTING -s 192.168.0.12 -o ppp0 -j MASQUERADE
- COMMIT
- # Completed on Thu Mar 6 23:15:26 2003
|
voila si vous pouviez m'eclairer un peu ca serait sympa |