Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1082 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Petite question Firewall [IPTABLES]

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Petite question Firewall [IPTABLES]

n°215379
Ogg
apt-get remove --purge brain
Posté le 24-01-2003 à 05:33:10  profilanswer
 

Voila, je suis en train de me mettre à iptables, et j'aurais voulu savoir si les regles suivantes correspondent bien aux commentaire qui les precedent ........ :p je suis pas tjr sur de tout comprendre, donc je préfére partir sur de bonnes bases
 
NET------>GATEWAY------->LAN
 

Code :
  1. mise à zero des regles + TOUT refuser
  2. iptables -F
  3. iptables -X
  4. iptables -P INPUT DROP
  5. iptables -P OUTPUT DROP
  6. iptables -P FORWARD DROP


 

Code :
  1. tout accepter sur lo (localhost) les services internes
  2. iptables -A INPUT  -i lo -j ACCEPT
  3. iptables -A OUTPUT -o lo -j ACCEPT


 

Code :
  1. mise en place du masquering & accepter les requetes vers le NET venant du LAN ($INTRA correspondant à la plage ip de mon LAN)
  2. echo 1 > /proc/sys/net/ipv4/ip_forward
  3. iptables -t nat -A POSTROUTING -s $INTRA -j MASQUERADE
  4. iptables -A FORWARD -s $INTRA -j ACCEPT


 
et aprés ça il ne me reste qu'a ouvrire les ports et services sur la gateway ??


---------------
-= Curses Fan =-
mood
Publicité
Posté le 24-01-2003 à 05:33:10  profilanswer
 

n°215396
apolon34
Vive Linux!!
Posté le 24-01-2003 à 08:37:55  profilanswer
 

mouais c'est pas mal
 
pour la purge j'aurais rajoute ca:
iptables -t nat -F
iptables -t nat -X
 

n°215397
Ogg
apt-get remove --purge brain
Posté le 24-01-2003 à 08:45:24  profilanswer
 

ok  :jap:  
ce qui remet les tables nat à zero je suppose  :??:


---------------
-= Curses Fan =-
n°215779
apolon34
Vive Linux!!
Posté le 25-01-2003 à 00:49:25  profilanswer
 

tout a fait

n°215782
udok
La racaille des barbus ©clémen
Posté le 25-01-2003 à 01:43:08  profilanswer
 

à mon avis avec ça tu vas pas aller loin
tu accept les connexion vers le net mais tu acceptes pas leur réponse
il te faut :
 

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i ! $INTERFACE_INTERNET -j ACCEPT

 
 
avec ça tu laisses rentrer les paquets venant des connexions établies
je ne sais pas ce qu'il en est pour l'udp
il semblerait que ça marche comme ça bizarrement ...
sinon, évite les "-s ip" et privilégie les "-i/o interface" (c'est plus fiable)


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
n°215787
le passant
Posté le 25-01-2003 à 02:44:34  profilanswer
 

Oui, évite de travailler sur les ip, mais plus sur les interfaces.
 
De une, ce sera un peu plus clair dans ton esprit.
De deux, bin pareil ;) !
 
Non, plus sérieusement : rien ne prouve que l'ip sur laquelle tu travail est bien une ip qui se trouve sur ton LAN !!!
C'est peu probable, mais possible.
Tandis qu'une interface est plus difficile à faire fonctionner en dehors de ton PC :).
 
Et puis aussi, préfère préciser l'interface sur laquelle s'applique la règle, plutôt que de dire sur laquelle elle ne s'applique pas. (c'est un po pour toi aussi udok)
... po claire
 
Bon, et bien préfère un :

Code :
  1. iptables -A FORWARD -i $LAN_IFACE -m state --state NEW -j ACCEPT


 
au :

Code :
  1. iptables -A FORWARD -m state --state NEW -i ! $INTERFACE_INTERNET -j ACCEPT


 
Mais ça, c'est plus mon esprit cartésien qui parle là.
 
Le passant.

n°215816
Ogg
apt-get remove --purge brain
Posté le 25-01-2003 à 15:51:47  profilanswer
 

Merci beaucoup pour vos conseilles  :jap: (c agreable des explications pédagogiques)
 
du coup j'en suis là
 

Code :
  1. Mise à Zero des tables & régles par default
  2. echo 0 > /proc/sys/net/ipv4/ip_forward
  3. iptables -F
  4. iptables -X
  5. iptables -P INPUT DROP
  6. iptables -P OUTPUT DROP
  7. iptables -P FORWARD DROP
  8. iptables -t nat -F
  9. iptables -t nat -X
  10. iptables -t nat -P PREROUTING ACCEPT
  11. iptables -t nat -P POSTROUTING ACCEPT
  12. iptables -t nat -P OUTPUT ACCEPT


 

Code :
  1. Acces total localhost & LAN
  2. iptables -A INPUT -i $INT_LOC -j ACCEPT
  3. iptables -A OUTPUT -o $INT_LOC -j ACCEPT
  4. iptables -A INPUT -i $INT_LAN -j ACCEPT
  5. iptables -A OUTPUT -o $INT_LAN -j ACCEPT


 

Code :
  1. Mise en Place du masquering et forwarding
  2. echo 1 > /proc/sys/net/ipv4/ip_forward
  3. iptables -t nat -A POSTROUTING -o $INT_INT -j MASQUERADE
  4. iptables -A FORWARD -i $INT_LAN -o $INT_INT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  5. iptables -A FORWARD -i $INT_INT -o $INT_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT


 
Voila, si vous voyez quelque chose qui vas pas ......


---------------
-= Curses Fan =-
n°215826
udok
La racaille des barbus ©clémen
Posté le 25-01-2003 à 16:34:13  profilanswer
 

Ogg a écrit :

Merci beaucoup pour vos conseilles  :jap: (c agreable des explications pédagogiques)
 
du coup j'en suis là
 

Code :
  1. iptables -t nat -P PREROUTING ACCEPT
  2. iptables -t nat -P POSTROUTING ACCEPT
  3. iptables -t nat -P OUTPUT ACCEPT


 


 
tu mets ça pourquoi ?

n°215829
Ogg
apt-get remove --purge brain
Posté le 25-01-2003 à 16:40:19  profilanswer
 

Pour pas à avoir à le faire plus tard :D, puis de toutes façon tt est bloquer au niveaux filtre ...
 
ça te parrait pas top ?


---------------
-= Curses Fan =-
n°215832
udok
La racaille des barbus ©clémen
Posté le 25-01-2003 à 16:42:52  profilanswer
 

Ogg a écrit :

Pour pas à avoir à le faire plus tard :D, puis de toutes façon tt est bloquer au niveaux filtre ...
 
ça te parrait pas top ?


 
bah je vois pas trop à quoi ça sert

mood
Publicité
Posté le 25-01-2003 à 16:42:52  profilanswer
 

n°216515
le passant
Posté le 27-01-2003 à 15:25:56  profilanswer
 

udok a écrit :


 
bah je vois pas trop à quoi ça sert


 
Ce n'est qu'une question de rigueur  :jap: .
 
C'est exactement comme pour la table filter, si tu ne précises rien, tu va utiliser la policy déjà spécifié : rien ne te dit que la définition est ce que toi tu souhaites !
 
Pour Mangle et Nat c'est la même chose : mieux vaut TOUT préciser, comme ça tu évites les (mauvaises) surprises.
 
Sinon, pour te le reste, rien à redire ;).
 
Le passant.

n°217513
Ogg
apt-get remove --purge brain
Posté le 29-01-2003 à 23:43:19  profilanswer
 

Wouala ou j'en suis
 


INT_LAN=eth1
INT_INT=ppp0
INT_LOC=lo
 
#Mise à Zero des tables & secu par default  
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#Anti-Spoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
#Acces total localhost & LAN
iptables -A INPUT -i $INT_LOC -j ACCEPT
iptables -A OUTPUT -o $INT_LOC -j ACCEPT
iptables -A INPUT -i $INT_LAN -j ACCEPT
iptables -A OUTPUT -o $INT_LAN -j ACCEPT
 
#Mise en Place du masquering et forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $INT_INT -j MASQUERADE
iptables -A FORWARD -i $INT_INT -o $INT_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_INT -o $INT_LAN -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#MISE EN PLACE DES FORWARDING AUTHORIZER EN SORTIE
#TCP (53->DNS) (80->HTTP) (443->HTTPS) (21->FTP) (5190->LICQ) (25->SMTP) (110->POP3) (5031->NTP)
#UDP (53->DNS) (80->HTTP) (443->HTTPS) (25->SMTP) (110->POP3)
PORT_OUT_TCP=53,80,443,21,5190,25,110,5031
PORT_OUT_UDP=53,80,443,25,110
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p tcp -m multiport --dport $PORT_OUT_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p udp -m multiport --dport $PORT_OUT_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


---------------
-= Curses Fan =-
n°217536
apolon34
Vive Linux!!
Posté le 30-01-2003 à 07:18:38  profilanswer
 

specifies les dns de ton fai en 'dur' genre -s 194.117.200.10 p tcp --sport 53
 
c'est toujours ca de gagne

n°217540
Ogg
apt-get remove --purge brain
Posté le 30-01-2003 à 08:10:56  profilanswer
 

apolon34 a écrit :

specifies les dns de ton fai en 'dur' genre -s 194.117.200.10 p tcp --sport 53
 
c'est toujours ca de gagne


Ok , si je comprend bien en mettant les dns en dur , au lieu d'ouvrire mon port 53, J'ACCEPT seulement les requetes allant et venant de mes DNS ? j'ai bon  :??:


Message édité par Ogg le 30-01-2003 à 08:11:34

---------------
-= Curses Fan =-
n°217626
le passant
Posté le 30-01-2003 à 13:15:34  profilanswer
 

:jap: !
 
Le passant.

n°217628
HJ
Posté le 30-01-2003 à 13:22:09  profilanswer
 

y a ptèt des trucs qui pouront t'aider ici:
 
 
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

n°217634
Ogg
apt-get remove --purge brain
Posté le 30-01-2003 à 13:28:46  profilanswer
 

HJ a écrit :

y a ptèt des trucs qui pouront t'aider ici:
 
 
http://forum.hardware.fr/forum2.ph [...] h=&subcat=
 


vui vui je m'en suis deja inspirer pour le multiport  ;)  
merci  :jap:


---------------
-= Curses Fan =-

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  Petite question Firewall [IPTABLES]

 

Sujets relatifs
linux et petite config?IpTables & erreur de table
question bete sur le shellquestion d'un newbie à propos de linux !!
iptables command not found[Reseau] IpTables : script de firewalling
Question pour linux REDHATquestion pour un champion !!!
Navigateur, OS, et petite config[Mandrake]Question sur les liens
Plus de sujets relatifs à : Petite question Firewall [IPTABLES]


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR