Le Vendredi 17 Janvier 2003 20:22, vous avez écrit : > Cyril ROBERT a écrit : > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Tu ferais aussi bien de virer le script mandrake de partage de > > connection, et ajouter des règles iptables pour le partage dans ton > > fichier firewall, ça prend 2 lignes : > > > > iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE > > iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT > > oui c 'est une bonne idee > mieux vaut reoartir de zero a la main > > compte tenu de ma config > connection via ppp > reseau sur eth0 > > je comptAIS essayer ceci > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT > > mais cela ne fonctionne pas , le windows ne peut se connecter > > je peux essyer aussi ceci > > iptables -P INPUT DROP > iptables -A POSTROUTING -t nat -o ppp0 -s 192.168.0.1/24 -j > MASQUERADE > iptables -A INPUT -s any/0 -i ppp0 -m state --state ESTABLI > SHED,RELATED -j ACCEPT > > iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT > > > sans plus de succes > faut il relancer quelque chose aprez les regles iptables ? > j'aimerais bien avoir a la fois samba et la connection... > > merci je te mets ci-dessous le script que j'utilise (j'ai le partage de connexion, mon serveur samba apparaît sur les postes windows et est fonctionnel). Il y un filtrage de base (tu peux tester avec un nmap de qq de sûr, ou alors sur www.hackerwacker.com) J'ai testé le script en local en remplaçant mon interface vers internet (ppp0) par celle de mon réseau local (eth0). Plus de windows, plus de ping, rien ne passe). Mais n'étant pas un spécialiste de netfilter/iptables, je souhaiterais des avis éclairés.
#!/bin/bash # firewall + nat - CC 01-2003 #définition variable pour l'interface externe (vers internet) EXTIF=ppp0 #vidage et remise à zéro chaines iptables -F iptables -X iptables -Z #définitions policies par défaut (accept ou drop) iptables -P INPUT ACCEPT #on pourrait mettre DROP ici iptables -P FORWARD ACCEPT #et ici iptables -P OUTPUT ACCEPT #création de chaine utilisateur log et drop iptables -N LD iptables -F LD iptables -A LD -j LOG --log-level warning --log-prefix "bloqué : " iptables -A LD -j DROP #création de chaine utilisateur log et drop toute connexion nouvelle #provenant de l'interface vers internet #accepte les connexions établies ou relatives à une connexion établie iptables -N FILTRE1 iptables -F FILTRE1 iptables -A FILTRE1 -i $EXTIF -m state --state NEW -j LD #bloque aussi smb (devrait être arrêté par la règle précédente, mais...) iptables -A FILTRE1 -i $EXTIF -p tcp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 137:139 -j LD iptables -A FILTRE1 -i $EXTIF -p tcp --dport 445 -j LD iptables -A FILTRE1 -i $EXTIF -p udp --dport 445 -j LD #autorise les paquets des connexions établies ou relatives iptables -A FILTRE1 -i $EXTIF -m state --state ESTABLISHED,RELATED -j ACCEPT #rajouter ici les connexions entrantes autorisées (ssh...) #définition des actions (pour ce qui rentre et ce qui traverse la passerelle) iptables -t filter -A INPUT -j FILTRE1 iptables -t filter -A FORWARD -j FILTRE1 echo "filtrage activé" #masquerading iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward echo "masquerading activé" #fin du script tiens-nous au courant. CC
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com"