Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :) As-tu essayé plutôt un apt-get clean ? :)
>Attention quand même , parce que la (si la règle matche) tu autorise la >totalité du réseau 192.168.0.X, et pas seulement le proxy. Oui je m'en suis aperçu après, j'avais fait une sorte de passoire. >"ebtables" serait surement plus approprié. Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise avec iptables", je suis plutôt parti la dessus. >Le forward est il activé ? Est-ce vraiment utile d'activer le forward dans une configuration de pont ? La passerelle n'est pas le pont mais le routeur derrière Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d'un post sur léa-linux pour la conf iptable. La voici : ---------------------------------------------------------------------------------------------------------------- #!/bin/bash iptables -F iptables -X LANS="192.168.0.0/255.255.255.0" PROXY="192.168.0.5" WEB="192.168.0.6" modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -N KEEP_STATE iptables -F KEEP_STATE iptables -A KEEP_STATE -m state --state INVALID -j DROP iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -j KEEP_STATE #règles persos iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 143 -j ACCEPT iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT # iptables -A FORWARD -s $PROXY -j ACCEPT iptables -A FORWARD -j DROP -------------------------------------------------------------------------------------------------------------- Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi empêcher la connexion directe. J'espère que ces règles tiennent la route. Re, Le 11/03/2014 15:04, sylv raou a écrit : > > Au lieu de faire une règle de redirection de port, je préfère bloquer > le port 80 pour le lan, et n'autoriser que le proxy. > je configure les règles suivantes : > > #! /bin/sh > iptables -F > iptables -X > PROXY="192.168.0.5/255.255.225.0"; > iptables -F FORWARD > iptables -P FORWARD DROP > iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID > -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j > ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT > > Le proxy ne veut pas sortir ? > Ai-je commis une erreur quelque part ? > Question con, mais des fois ... Le forward est il activé ? *Méthode bourrin* : echo 1 > /proc/sys/net/ipv4/ip_forward *Méthode plus douce* : sysctl net.ipv4.ip_forward=1 *Méthode permanente* : retirer le # dans le fichier /etc/sysctl.conf #net.ipv4.ip_forward=1 @+ Christophe. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/531f7ea3.2030...@stuxnet.org -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/d88d0d07a51e40809e09d2b4a7ed7...@db4pr01mb175.eurprd01.prod.exchangelabs.com
