bon j ai fai le bourrin dsl un gro copier coller de ma cfg
donc je recapitule ma structure reseau :
mon serveur a 2 carte reseau eth0 (10.0.0.1) pour le reseau local et eth1 (192.168.0.2) qui va sur le routeur ADSL (192.168.0.1)
le reseau local et le serveur ping san prob le routeur mai n'arrive pas a aller + loin
config iptables :
#!/bin/sh
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas d'icmp (ping)
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#chargement des modules
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_nat
# vider les règles existantes
iptables -F
iptables -X
# Enregistrement des logs et refuser tous les paquets
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
#enregistrement des logs et accepter les paquets
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
# on interdit tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#on autorise tout sur la machine local (lo)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# On accepte le trafic sur le réseau local
iptables -A INPUT -s 10.0.0.0/8 -d 10.0.0.0/8 -j ACCEPT
iptables -A OUTPUT -s 10.0.0.0/8 -d 10.0.0.0/8 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -d 10.0.0.0/8 -j ACCEPT
# on accepte la resulution de noms (dns)
iptables -A INPUT -i eth1 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth1 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth1 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth1 --protocol tcp --destination-port 53 -j ACCEPT
# Proxy transparent,tout ce qui va vers le port 80 est rerouté sur le 3128
# Penser à modifer squid.conf
##iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 10.0.0.0/255.0.0.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
# On rejete tout ce qui est Netbios
iptables -N NETBIOS
iptables -A INPUT -p udp --sport 137:139 -j NETBIOS
iptables -A NETBIOS -j LOG --log-prefix '[IPTABLES NETBIOS]'
iptables -A NETBIOS -j DROP
# on accepte le web
iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
#iptables -A INPUT -s 80.15.27.195 -m state --state NEW,ESTABLISHED -p tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED -j ACCEPT
#iptables -A INPUT -i eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
#on autorise le LAN à aller sur le web
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -j ACCEPT
# Masquerade d'adresses
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
#vers les logs
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
iptables -A FORWARD -j LOG_DROP
echo -e "\n Config IpTables Terminée \n"