Bonsoir, Le 11/03/2014 15:35, RAOULT sylvain a écrit : > Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , > l'erreur ne figure pas dans le vrai script > PROXY="192.168.0.5/255.255.255.0"; au lieu de > PROXY="192.168.0.5/255.255.225.0"; >
Attention quand même , parce que la (si la règle matche) tu autorise la totalité du réseau 192.168.0.X, et pas seulement le proxy. PROXY="192.168.0.5/255.255.255.255"; ou PROXY="192.168.0.5/32"; ou (encore plus simple) PROXY="192.168.0.5" Me paraissent plus adaptés. > > Au lieu de faire une règle de redirection de port, je préfère bloquer le > port 80 pour le lan, et n'autoriser que le proxy. > je configure les règles suivantes : > > #! /bin/sh > iptables -F > iptables -X > PROXY="192.168.0.5/255.255.225.0"; > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT > Le proxy ne veut pas sortir ? > Ai-je commis une erreur quelque part ? Je te conseille un (de mémoire) : iptables -A FORWARD -j LOG --log-prefix "Forward DROP:" En toute dernière règle de la chaine FORWARD, pour voir si effectivement tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il s'agit d'un problème de firewalling ou de routage/bridging. Mais au final, je pense que le problème est tout autre : je ne suis pas sur qu'iptables soit le bon outil dans le cas présent (s'agissant d'un bridge, il me semble que ca ne passe pas dans la chaine FORWARD). "ebtables" serait surement plus approprié. @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f76f3.4070...@stuxnet.org
