Le Vendredi 06 Juin 2003 16:44, AMORE Rosaire a écrit : > Salut > J'ai le réseau suivant : > une passerelle que je voudrais utiliser comme firewall avec un lan juste > derrière sur eth0. Je n'ai pas de DMZ. Je me connecte par ppp0. > Je voudrais tout DROPper sauf : > - accès à Internet depuis ma passerelle ou mon lan > - accès depuis n'importe où par ssh. > J'ai construit les règles suivantes en m'inspirant du iptables-Howto et > du tutorial de lea. > Ca marche depuis ma passerelle mais rien depuis mon lan (bien configuré, > car, sans les règles iptables, j'arrive bien sur internet). > ========================= > iptables -F INPUT > iptables -F OUTPUT > iptables -F FORWARD > iptables -nL # verif > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -nL > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > iptables -nL > iptables -A INPUT -i lo -j ACCEPT > iptables -A OUTPUT -o lo -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT > iptables -A INPUT -i ppp0 --protocol tcp --source-port 80 -m state > --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state > --state NEW,ESTABLISHED -j ACCEPT > iptables -nL > #iptables -A INPUT --protocol tcp --source-port 22 -m state --state > NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT --protocol tcp --source-port 22 -j ACCEPT > iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE > ========================= > Une idée?
Tu met DROP comme règle par défaut à FORWARD, mais tes règle ne concerne que l'INPUT ou L'OUTPUT, il faut que tu rajoute les autorisations pour FORWARD, ie les paquets qui ne font que transiter par le passerelle. > Rosaire -- Linux pour Mac !? Enfin le moyen de transformer une pomme en véritable ordinateur. - JL. Olivier Thauvin - http://nanardon.homelinux.org/
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
