Re: Passerelle
echo 1 > /proc/sys/net/ipv4/ip_forward
IPT="/sbin/iptables"
### Remise a zero de toutes les tables et compteurs ###
$IPT -F
$IPT -F -t nat
$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD
$IPT -F -t mangle
$IPT -X
$IPT -Z
### Definition des policies par defaut ###
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
### Log de toutes les connexions refusees ###
$IPT -N log-bad
$IPT -A log-bad -m limit --limit 15/minute -j LOG --log-prefix
IPT_New_Conx_BAD_:
$IPT -A log-bad -j DROP
### Regles sur la table INPUT ###
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i eth0 -j ACCEPT
$IPT -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -i ppp0 -j log-bad
### Regles sur la table OUTPUT ###
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A OUTPUT -o ppp0 -j log-bad
### Regles sur la table NAT/POSTROUTING ###
$IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
### Regles sur la table FORWARD ###
$IPT -A FORWARD -i pppo -m state --state ESTABLISHED,RELATED -j
ACCEPT
$IPT -A FORWARD -i lo -j ACCEPT
$IPT -A FORWARD -o lo -j ACCEPT
$IPT -A FORWARD -o ppp0 -j log-bad
###########################################################################
Voila, j'espere que ca va t'aider a demarrer dans un premier temps, mais
un firewall c'est personnel; je te conseille donc vivement de te plonger
un peu dans la doc pour l'adapter a tes besoins voir pour proceder
differement.
Ce script comporte une chaine "log-bad" qui met une ligne de log dans
/var/log/syslog par paquet qui lui est envoye (ds la limite de 15
paquets/min), puis drop le paquet.
Tous les paquets entrant ou sortant par ppp0 sont envoyes ds cette chaine.
$IPT -A INPUT -i ppp0 -j log-bad
$IPT -A OUTPUT -o ppp0 -j log-bad
Donc aucune nouvelle connection ne sort ni entre par ppp0 mais c'est logue.
Seul le retour d'une connection etablie par ta passerelle peut entrer.
$IPT -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Seul le retour d'une connection etablie par un poste derriere ta
passerelle, peut etre forwarde vers ce poste.
$IPT -A FORWARD -i pppo -m state --state ESTABLISHED,RELATED -j ACCEPT
Tu as donc juste a autoriser les nouvelles connections vers l'exterieur
sur les protocoles necessaires, dans la table OUTPUT pour ta passerelle et
FORWARD pour les autres postes; et les reponses seront gerees par les deux
regles precedentes.
Exemple pour authoriser ta passerelle a sortir sur le port 80:
$IPT -A OUTPUT -o ppp0 -p tcp -s 0/0 --dport 80 -j ACCEPT
Exemple pour authoriser les autres postes a sortir sur le port 80:
$IPT -A FORWARD -o ppp0 -p tcp -s 0/0 --dport 80 -j ACCEPT
*** il faut ajouter ces regles au dessus de celles qui renvoient vers
log-bad***
sinon elles ne sont pas prises en compte.
Ca fait un bout de temps que je n avais pas mis le nez ds iptables,
j'espere donc ne pas m'etre trompe. Un peu de lecture:
http://www.netfilter.org/documentation/HOWTO/fr/netfilter-hacking-HOWTO.html
Bon courage
ps : pour demarrer le script adsl, tu peux faire un lien symbolique vers
ce script dans /etc/init.d/rc2.d pour le demarage, dans /etc/init.d/rc0.d
et
/etc/init.d/rc6.d pour l'arret
> Bonsoir,
>
> J'ai un vieux pentium 133, 48 Mo ram et 2 Go de HD.
> Je l'ai transforme en passerelle c'est a dire une carte reseau et un modem
> SpeedTouch usb.
>
> J'ai cree un petit script pour initialiser et lancer la connection.
> Dans ce script, j'utilise start-stop-daemon --start --pidfile
> /var/run/modem_run.pid --make-pidfile pour lancer le chargement du
> firmware du modem mais je constate que dans le fichier .pid, j'ai le pid
> du script et non de la commande lancee.... Donc un start-stop-daemon
> --stop ne fonctionne pas.
> Je voudrais aussi pouvoir lancer la commande adsl start automatiquement
> au demarrage et adsl stop a l'arret de la machine.
>
> J'ai cree un superbe script pour mon firewall :
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
> Il fonctionne bien, meme tres bien mais il n'est pas tres secure, je
> cherche donc un script simple et bien explique ou un utilitaire qui me
> permettrait d'avoir un firewall secure c'est a dire ou tout serait ferme
> par defaut, que les tentatives de connection venant de l'exterieurs
> seraient loggees ainsi que les tentatives de sortir du reseaux (facile
> pour repperer les protocols a liberer).
>
> Merci
> Thierry
>
>
> --
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
>
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>
Reply to:
- References:
- Passerelle
- From: Thierry Leurent <thierry.leurent@wanadoo.be>