iptables

OcamlScheme · 03/05/2003 02:48:02

j'utilise actuellement les iptables comme "protection" (limiter les ports ouverts à
l'exterieur) et comme outils pour la passerelle !
jusque là, donc, rien d'extraordinaire. Mais si tous marche à peu près comme
je le veux, aujourdhui il c'est posé un probleme :
en fait les requètes faites sur le resau local sont redirigées sur le net
avec mes IP locales ! ce qui a eu pour conséquence de me refuser l'acces d'un site ftp !

voila la regle que j'utilise pour le postrouting :

iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE

que faut il ajouter pour que mes adresses locales soient "invisibles" et que seul
mon IP "fai" soit visible ?

precision : je n'utilise pas DHCP, mes adresses sont fixes.

OS

kagou · 03/05/2003 08:37:41

La ligne, dans un premier temps, devrait être comme ça :
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Tu rencontreras plus souvent cette forme là, ce n'est pas du pinallage, les règles iptables doivent être "carrées" tout comme leur écriture.

Comment sais-tu que tes IP sortent de ton réseau ?
As tu installés le module pour le ftp ?

Le mieux étant que tu nous mettes ton script complet pour iptables.

J'ai essayé d'écrire un script complet, mais lorsque tu t'y penches à fond, tu te rends compte qu'il manque toujours quelquechôse, sans parler des trous à coté de quoi tu passes sans les voir.

C'est pour cela que j'utilise Shorewall -> http://www.shorewall.net/

C'est le firewall utilisé par la distribution MandrakeMNF, ainsi que par deux autres distributions LEAF et BERING LEAF. Il est simple en mettre en oeuvre, et très facile à modifier/gérer.
Mais en fait tu fais comme tu veux, c'était juste une info

OcamlScheme · 06/05/2003 00:36:14

merci pour l'info et pour la structure des regles ... j'ai remis ca au propre,
Je pinaille meme jusqu'à la forme des commentaires en C alors pour les iptables,
je me dois de faire propre.

Comment sais-tu que tes IP sortent de ton réseau ?

il y a plein de facon de voir quelles ip sortent !
le bon vieux tcpdump, ou plus simplement :

opale:~$ ssh -X -l dubreuil nivose.ufr-info-p7.jussieu.fr
socket: [b]Address family not supported by protocol[/b]
[email protected]'s password:

As tu installés le module pour le ftp ?

Non, je refuse tous ce qui est entrant hormis web et ssh
et j'accepte tout sur le resaux local.

j'ai fouiné un peu sur le web ... et j'ai finalement trouvé ce que je voulais !

Spécificités NAT :

--to-destination : Utilisé en target pour le DNAT, permet de spécifier l'adresse
de destination de la translation, on peut également spécifier un port s'il est différent
du port source.

Exemples :
# iptables -t nat -A PREROUTING -d 42.12.42.12 -p tcp --dport 110 -j DNAT
--to-destination 192.168.1.2:6110
# iptables -t nat -A PREROUTING -d ! 42.12.42.12 -p tcp --dport 80 -j DNAT
--to-destination 192.168.2.1:3128

--to-source : Utilisé pour en target pour le SNAT, permet de spécifier l'adresse
source de la translation.

source : http://lea-linux.org/reseau/iptables.php3

OS

miky · 18/05/2003 17:39:51

Je ne comprends pas trop pourquoi tu dis que tes adresses ip privées passent sur internet.
Deja saches une chose c'est que les adresses du type 192.168.1.0/24 ne sont pas routables sur internet d'une maniere generale.
Ensuite la regle que tu as ecrite sert justement a faire du masquerading DONC d'alouer un port a ton adresse public externe pour chaque connexion que ton reseaux privé etablit sur internet.
Quand tu as une adresse ip dynamique tu utilises de preference la regle de masquerading telle que tu l'as ecrite par contre si ton @ip est fixe tu pourras utiliser une regle avec un POSTROUTING

iptables -t nat -A POSTROUNTING -s 192.168.1.0/24 -d 0.0.0.0/0 -j SNAT
--to-destination @ip_externe

++

Andesi - forum

#1 03/05/2003 02:48:02

iptables

#2 03/05/2003 08:37:41

Re : iptables

#3 06/05/2003 00:36:14

Re : iptables

#4 18/05/2003 17:39:51

Re : iptables

Pied de page des forums