mii-tool -F 100baseTx-FD eth*
# Chargement des modules pour le suivit de connexion
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
2 lignes importantes pour le suivi de connexion :
iptables -t filter -A OUTPUT -o ppp0 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
Armen qui s'est fait plaisir et qui trouve que 3 messages, ça va aller pour le moment.
]># HTTP
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Tu autorises la sortie par l'interface ppp0 des paquets à destination du port 80 de n'importe quelle ip.
OK, mais mes vieux souvenir du protocole tcp/ip me disent que ton navigateur fournit aussi un numéro de port (>1024) sur lequel le serveur web doit répondre.
Quand le serveur répond, le port source est 80, le port destination est >1024. Donc tu le bloques (j'ai lu ton script en diagonale, mais je n'ai pas vu de rêgle pour ce cas là)
pour le DNS, le problème est le même en udp, le DNS répond sur le port que ton client lui fournit, et ce port est > 1024 ...
Bon, les autres peuvent me dire si je me gourre.
Armen, qui prendra le temps un jour (peut être) de tester ses allégations.
]>Pour le script, inspire toi de celui-ci :http://olivieraj.free.fr/fr/linux/infor … final-1.sh
en lisant un peu la doc d'Olivier Allard-Jacquin http://olivieraj.free.fr/fr/linux/information/firewall/.
Dans le script, tu as quelques paramètres à fixer au début et après tout roule...
Armen qui vient de faire +1 au compteur de Ledub
]>Petite précision : Linux 2.6.7-1-386 en sarge.
Toujours aussi débutant, j'ai un problème lors d'un
apt-get
quoique ce soit sur ma passerelle, configurée comme suit :
eth1 --> Réseaux local
eth0 --> ppp0
Voici mon script iptables que je charge à chaque lancement et redémarrage de mon networking service :
#!/bin/sh
#
#####
# Nom du script : iptables-start.sh
# Modification : 16/09/2004
#####
# Suppression de toutes les règles
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Politiques par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# Anti-spoofing
iptables -t nat -I PREROUTING -i ppp0 -s 192.168.1.0/255.255.255.0 -j DROP
# Nat
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# Anti ICMP
iptables -A INPUT --proto icmp --icmp-type echo-request -j DROP
# HTTP
iptables -A INPUT -i ppp0 -p tcp --dport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
# FTP
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
# DNS
iptables -A INPUT -i ppp0 --protocol udp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --dport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --sport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
# Acceptation du traffic sur lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
# SSH
iptables -A INPUT -i eth1 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
# Samba
iptables -A INPUT -i eth1 -p tcp --dport 445 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 445 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 135:139 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 135:139 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth1 -p udp --dport 135:139 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp --dport 135:139 -m state --state ESTABLISHED -j ACCEPT
# Mode passif
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
printf "n33[33m[~~Iptables chargé~~]n"
Comme un exemple vaut mieux qu'un long discours :
@ apt-get install modconf
Lecture des listes de paquets... Fait
Construction de l'arbre des dépendances... Fait
Les NOUVEAUX paquets suivants seront installés :
modconf
0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
Il est nécessaire de prendre 1058ko dans les archives.
Après dépaquetage, 3817ko d'espace disque supplémentaires seront utilisés.
Err http://ftp2.fr.debian.org testing/main modconf 0.2.47
Temporary failure resolving 'ftp2.fr.debian.org'
Impossible de récupérer http://ftp2.fr.debian.org/debian/pool/main/m/modconf/modconf_0.2.47_all.deb Temporary failure resolving 'ftp2.fr.debian.org'
E: Impossible de récupérer quelques archives, peut-être devrez-vous lancer apt-get update ou essayer avec --fix-missing ?
A partir de deux autrés bécannes de mon réseaux (eth1), aptitude passe nickel... :cry:
Un autre petite question (pendant que jvous tiens ) :
J'ai installé deux autres carte réseaux sur ma passerelle (une realtek et une wifi) : Faut-il que je reconpile mon noyau pour qu'elles soient prises en compte ?
Autre petite question (je sais j'abuse ) : Comment on foce le full-duplex ?
Enfin, je suis ouvert à toutes à suggestions pour le script iptables
En vous remerciant d'avance pour vos futures réponses.
Jay
]>