> > je suis pas l'auteur de la question initiale mais je suis concerné
> > donc ...
Je suis l'auteur initial de la question et je remercie Hervé L. pour les
précisions indispensables qui suivent ....et Franck K. pour les avoir
demandées.
Hervé -------- [EMAIL PROTECTED]
> OK
>
> [snip]
> > HL> La table de routage ressemble a la chose suivante
> >
> > HL>Destination Passerelle Genmask Indic MSS Fenêtre
> > irtt Iface
> > HL> 192.168.0.0 0.0.0.0 255.255.0.0 U 0 0
> > 0 eth1
> > HL> 127.0.0.0 0.0.0.0 255.0.0.0 U 0 0
> > 0 lo
> > HL> 0.0.0.0 IP_ROUTEUR 0.0.0.0 UG 0 0
> > 0 eth0
> > est-ce possible d'avoir qq precisions sue cette table !!
>
> Cette table a la signification suivante:
> Ligne 1
> "Tout [les paquets IP] ce qui est a destination d'une adresse 192.168.x.x
sera
> envoyé directement à la carte réseau eth1."
> Ligne 2
> "Tout ce qui est 127.x.x.x correspond à la loopback (boucle locale IP,
> obligatoire)"
> Ligne 3
> "Tout le reste sera envoyé a la carte reseau eth0, avec comme passerelle
> IP_ROUTEUR".
>
> Les routes s'ajoutent/suppriment avec les commandes "route add" et "route
del"
> man route pour plus d'info sur la commande
> Le contenu de la table de routage s'obtient avec la commande "route" ou
"netstat
> -nr"
>
>
> > HL> Ensuite, avec IPCHAINS, on interdit tout ce qui est en provenance de
> > 192.168.x.x
> > HL> et à destination d'autre chose que la passerelle.
> > ds quel but ? quel autre type de cnx peut-il y avoir
>
> Parce que sinon, n'importe qui sur le reseau 192.168.x.x peut se connecter
> n'importe où [sur l'internet] sans passer par le proxy. Les paquets seront
> forwardés de facon "transparente" (comme on dit dans le jargon) par la
> passerelle. La connextion se comportera de la même manière que si toutes
les
> machines du réseau 192.168.x.x étaient connectées directement sur la
liaison
> internet (à la différence notable que si elles peuvent se connecter sur
> n'importe quel serveur sur l'Internet, le contraire n'est pas vrai,
personne de
> l'extérieur ne peut se connecter dessus puisque leur IP est masquée).
>
>
> >
> > HL> Voilà, comme ca ca devrait le faire :
> >
> > HL> - Personne ne peut sortir sans passer par le proxy SQUID
> > HL> - SQUID peut logger l'activité
> >
> > HL> Attenton néanmoins, tout interdire avec IPCHAINS est un peu brutal,
> > si les
> > HL> postes doivent pouvoir aller consuler leur email sur un serveur
> > externe, il
> > HL> faudra ouvrir le port 110 (POP), de même il faudra aussi
> > probablement ouvrir les
> > HL> ports DNS.
> > et alors la on fait comment
>
> Avec IPCHAINS tout simplement.
>
> Le script d'initialisation ipchains d'une telle passerelle ressemblerait a
ceci
> :
>
>
> NOTE : Je fais ca de mémoire, sans vérifier la syntaxe ni relire. Verifier
avec
> man ipchains, masquerading-HOWTO , etc ...
>
>
> #reset des regles input :
> ipchains -R input
>
> #on commence par se mefier de l'IP_SPOOFING (avec trace dans le log) :
> ipchains -A input -s 192.168.0.0/16 -i eth0 -l DENY
>
> #on accepte tout ce qui vient du reseau local a destination de la
> #passerelle, sur le port du proxy uniquement
> ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_PASSERELLE 1080 ACCEPT
>
> #on accepte en masquerade ce qui vient du reseau local, a destination du
net
> #uniquement pour lire son courrier :
> ipchains -A input -s 192.168.0.0/16 -p tcp -d all 110 MASQ
>
> #on accepte en masquerade l'acces au DNS
> ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_DNS 42 MASQ
> ipchains -A input -s 192.168.0.0/16 -p tcp -d IP_DNS 53 MASQ
> ipchains -A input -s 192.168.0.0/16 -p udp -d IP_DNS 53 MASQ
>
> #tout le reste en provenance du reseau local est rejeté, avec trace
> #dans /var/log/messages :
> ipchains -A input -s 192.168.0.0/16 DENY -l
>
> #Ce qui vient du net, a destination de la passerelle est accepté :
> ipchains -A input -s all -d IP_eth0 ACCEPT
> ipchains -A input -s all -d IP_eth1 ACCEPT
>
> #Le reste, on le refuse avec trance dans le log
>
> ipchains -A input -s all -d all -l DENY
>
>
> --
> H.Lefebvre [EMAIL PROTECTED]
> LINUX : Ne jetez plus votre argent par les fenêtres !
>
