Je me bagarre depuis plusieurs jours avec iptables, avec l'appui de la
liste confirme (en particulier Olivier et Apollonie, que je remercie beaucoup : ils m'ont vraiment bien fait avancer), sur laquelle il semble ne pas y avoir grand monde aujourd'hui.
Je viens donc crier à l'aide chez les débutants. Qui sait?...
Ce que j'ai : une machine qui me sert de machine de travail (avec une
liaison ppp0) et que je veux utiliser comme passerelle sécurisée pour
mon lan (sur eth0)
Ce que je veux. Tout interdire évidement sauf :
- depuis ma passerelle, accéder à internet pour http, dns, smtp, pop et ssh.
- depuis mon lan, accéder à internet pour http, dns, smtp, pop et ssh,
mais aussi en plus, à tout service éventuel sur ma passerelle (http, squid, etc).
J'ai pondu ça et en gros ça marche, mais il y a UNE chose que je n'arrive pas à faire marcher, c'est l'accès à mon serveur par ssh depuis internet.
Quelqu'un voit pourquoi?
Merci d'avance
Rosaire
=======================
#------------------------------------------------
# Grand nettoyage de printemps et on bloque tout
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
#------------------------------------------------
# Un peu de réseau en local tout de même
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#------------------------------------------------
# Je fais confiance à mon LAN, mais je ne veux forwarder que certains services (on verra plus loin)
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
#------------------------------------------------
# si connexion déjà existante => j'accepte ce qui rentre sur ppp0. Cas à part : ssh
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 --protocol tcp --destination-port ssh -m state --state NEW,ESTABLISHED -j ACCEPT
#------------------------------------------------
# On sort un peu, prudemment, ...
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT --protocol tcp --destination-port 22 -j ACCEPT
#------------------------------------------------
# Il faut qd même bien faire sortir les gosses à un moment donné, non?
iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 80 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 110 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 25 -j ACCEPT
iptables -A FORWARD -o ppp0 --protocol tcp --destination-port 22 -j ACCEPT
#------------------------------------------------
# Pour vivre heureux, vivons cachés ...
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
iptables -nvL
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";.
Foire Aux Questions de la liste : http://mdk.mondelinux.org
