Vous n'êtes pas identifié(e).
Pages : 1
j 'ai un probleme avec mon iptables c est que ba je sors pas :? :cry: alors si quelqu un a une idée j aimerai sachant que mon reseau local est sur mon eth1 en 192.168.0.10 et mon internet sur eth0 en 172.16.78.90 et que sur ma station j ai un dns pour mon reseau local
#!/bin/bash
#
#chargement de modules
#
modprobe iptable_nat
modprobe iptable_filter
#
#definition des adresse utiliser
WAN_INTERFACE="eth0" # interface internet
LAN_INTERFACE="eth1" # interface LAN
#
# Nous vidons les chaînes :
iptables -F
# Nous supprimons d'éventuelles chaînes personnelles :
iptables -X
# Nous les faisons pointer par défaut sur DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
# Nous considérons que la machine elle même est sûre
# et que les processus locaux peuvent communiquer entre eux
# via l'interface locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Nous considérons que notre réseau local est
# également sûr (ce qui n'est pas forcément vrai, d'ailleurs).
iptables -A INPUT -i $LAN_INTERFACE -j ACCEPT
iptables -A OUTPUT -o $LAN_INTERFACE -j ACCEPT
# Translation d'adresses pour tout ce qui traverse la passerelle
# en sortant par $WAN_INTERFACE
iptables -t nat -A POSTROUTING -o $WAN_INTERFACE -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o $WAN_INTERFACE -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# Autorisation des requêtes DNS locales
iptables -A OUTPUT -o $WAN_INTERFACE -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i $WAN_INTERFACE -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
merci
j'adore les bugs
Hors ligne
ip_conntrack est-il compilé en dur dans le noyeau ou chargé en module ?
voir http://www.andesi.org/forum/viewtopic.php?t=2213
C'est peut être le même problème que celui de Katyucha, donc si c'est juste le module qui manque, pas besoins de me prendre la tête à voir ou ça coince ...
Dans l'hypothèse ou ce n'est pas ça, tu peux lancer ton script et dans la foulée un
ping www.google.fr
puis juste après
iptables -L -n -v
pour voir si ça sort et ça rentre plus, si ça sort même pas ...
Et maintenant, miam miam
"La grandeur d'un métier est peut-etre, avant tout, d'unir des hommes : il n'est qu'un luxe véritable, et c'est celui des relations humaines." Antoine de Saint-Exupéry
Hors ligne
Personnellement je te conseillerais plutôt l'installation d'un frontend a netfilter/iptables comme shorewall plutôt que d'utiliser iptables directement. Ton firewall n'en sera que mieux configuré (et très simplement)
Hors ligne
Personnellement je te conseillerais plutôt l'installation d'un frontend a netfilter/iptables comme shorewall plutôt que d'utiliser iptables directement. Ton firewall n'en sera que mieux configuré (et très simplement)
shorewall et la vie est belle.
Hors ligne
Salut,
Moi je trouve ça plus marrant de faire son propre script plutôt que de passer par des frontend. Bon d'accord, c'est plus compliqué mais cela permet tout de même de comprendre pas mal de choses sur iptables et les réseaux plus généralement, enfin c'est mon avis . Après c'est sûr qu'il faut avoir un peu de temps pour se plonger là dedans.
++ Arnaud
Hors ligne
Salut,
Bon, j'oubliais de répondre au sujet en fait . As tu essayé de faire :
# echo 1 > /proc/sys/net/ipv4/ip_forward
Ensuite, essaie de pinguer une IP directement... Et dis nous ce que tu as.
++ Arnaud
Hors ligne
Salut,
Moi je trouve ça plus marrant de faire son propre script plutôt que de passer par des frontend. Bon d'accord, c'est plus compliqué mais cela permet tout de même de comprendre pas mal de choses sur iptables et les réseaux plus généralement, enfin c'est mon avis . Après c'est sûr qu'il faut avoir un peu de temps pour se plonger là dedans.
++ Arnaud
Cela ne sécurise pas forcément aussi bien, et si on utilise un firewall c'est principalement pour la sécurité, donc qui connait mieux netfilter qu'un frontend ? surement pas moi, ni n'importe qui de ce forum. Il vaut mieux déléguer certaines tâches à des programmes plutôt que de vouloir absolument tout faire soi-même.
Hors ligne
Il vaut mieux déléguer certaines tâches à des programmes plutôt que de vouloir absolument tout faire soi-même.
Là, par exemple, ce n'est pas Ptitlouis qui réponds, c'est un programme résident appelé virus ;-)
« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!
Hors ligne
Salut,
Dans ce cas ptitlouis, installe Windows, il parait qu'ils font des programmes mieux que tout le monde, et pis comme ça tu t'embêtes pas ... Plus sérieusement, je ne pense pas que shorewall fasse mieux que ce que tu peux faire, en plus j'ai trouvé ça pas évident quand j'avais essayé .
++ Arnaud
Hors ligne
Mouais, bof. Il parait dur mais une fois que tu as compris comment il fonctionne il est plus simple que le firewall d'XP et surement plus efficace.
Pour la sécurité, je suis désolé mais tu ne penseras jamais a tout rajouter dans tes règles iptables. Ca n'est pas une tarre de déléguer la configuration d'un firewall a un programme.
Hors ligne
Salut,
Je ne dis pas que c'est une tarre, je dis que c'est toujours intéressant de connaître le fonctionnement de iptables, et je pense aussi qu'en supprimant tout par défaut, tu ne peux pas ou presque te tromper.
++ Arnaud
Hors ligne
Pages : 1