Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :)
As-tu essayé plutôt un apt-get clean ? :)
>Attention quand même , parce que la (si la règle matche) tu autorise la
>totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.
>"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant "+ à l'aise
avec iptables", je suis plutôt parti la dessus.
>Le forward est il activé ?
Est-ce vraiment utile d'activer le forward dans une configuration de pont ?
La passerelle n'est pas le pont mais le routeur derrière
Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché
à la conf du bridge qui est bonne, et je me suis inspiré d'un post sur
léa-linux pour la conf iptable.
La voici :
#!/bin/bash
iptables -F
iptables -X
LANS="192.168.0.0/255.255.255.0"
PROXY="192.168.0.5"
WEB="192.168.0.6"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -N KEEP_STATE
iptables -F KEEP_STATE
iptables -A KEEP_STATE -m state --state INVALID -j DROP
iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j KEEP_STATE
#règles persos
iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT
#
iptables -A FORWARD -s $PROXY -j ACCEPT
iptables -A FORWARD -j DROP
--
Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi empêcher
la connexion directe.
J'espère que ces règles tiennent la route.
Re,
Le 11/03/2014 15:04, sylv raou a écrit :
>
> Au lieu de faire une règle de redirection de port, je préfère bloquer
> le port 80 pour le lan, et n'autoriser que le proxy.
> je configure les règles suivantes :
>
> #! /bin/sh
> iptables -F
> iptables -X
> PROXY="192.168.0.5/255.255.225.0";
> iptables -F FORWARD
> iptables -P FORWARD DROP
> iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID
> -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j
> ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
>
> Le proxy ne veut pas sortir ?
> Ai-je commis une erreur quelque part ?
>
Question con, mais des fois ...
Le forward est il activé ?
*Méthode bourrin* :
echo 1 > /proc/sys/net/ipv4/ip_forward
*Méthode plus douce* :
sysctl net.ipv4.ip_forward=1
*Méthode permanente* :
retirer le # dans le fichier /etc/sysctl.conf
#net.ipv4.ip_forward=1
@+
Christophe.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive: https://lists.debian.org/531f7ea3.2030...@stuxnet.org
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-requ...@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Archive:
https://lists.debian.org/d88d0d07a51e40809e09d2b4a7ed7...@db4pr01mb175.eurprd01.prod.exchangelabs.com