Re: Passerelle

To: Thierry Leurent <thierry.leurent@wanadoo.be>
Cc: debian-user-french@lists.debian.org
Subject: Re: Passerelle
From: Peix Fabrice <fabrice.peix@sophia.inria.fr>
Date: Tue, 07 Oct 2003 11:40:52 +0200
Message-id: <[🔎] 1065519651.762.13.camel@vis216>
Reply-to: fabrice.peix@sophia.inria.fr
In-reply-to: <[🔎] 20031006204447.430d774b.thierry.leurent@wanadoo.be>
References: <[🔎] 20031006204447.430d774b.thierry.leurent@wanadoo.be>

Le lun 06/10/2003 à 20:44, Thierry Leurent a écrit :
> Bonsoir,
> 
> J'ai un vieux pentium 133, 48 Mo ram et 2 Go de HD.
> Je l'ai transforme en passerelle c'est a dire une carte reseau et un modem SpeedTouch usb.
> 
> J'ai cree un petit script pour initialiser et lancer la connection.
> 	Dans ce script, j'utilise start-stop-daemon --start --pidfile /var/run/modem_run.pid --make-pidfile pour lancer le chargement du firmware du modem mais je constate que dans le fichier .pid, j'ai le pid du script et non de la commande lancee.... Donc un start-stop-daemon --stop ne fonctionne pas.
> 	Je voudrais aussi pouvoir lancer la commande adsl start automatiquement au demarrage et adsl stop a l'arret de la machine.
> 
> J'ai cree un superbe script pour mon firewall :
> 	echo 1 > /proc/sys/net/ipv4/ip_forward
> 	iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
> 	
> 	Il fonctionne bien, meme tres bien mais il n'est pas tres secure, je cherche donc un script simple et bien explique ou un utilitaire qui me permettrait d'avoir un firewall secure c'est a dire ou tout serait ferme par defaut, que les tentatives de connection venant de l'exterieurs seraient loggees ainsi que les tentatives de sortir du reseaux (facile pour repperer les protocols a liberer).
> 
> Merci
> Thierry  
> 
Pour ce qui de la sécurité tu peux mettre les règles suivantes :
# Politique par default
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
 
 
# On fait un peu de menage
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -F -t nat
/sbin/iptables -F block
/sbin/iptables -X block
 
# Création d'une chaîne qui bloque les nouvelles connections
# qui ne viennent de l'extérieur.
#Création de la chaîne
/sbin/iptables -N block
# On accepte le trafic correspondant à des connections établies.   
/sbin/iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# On acceptes toutes les demandes de connections qui ne viennent pas de
# ppp0 (A remplacer par le nom de ton interface modem) 
/sbin/iptables -A block -m state --state new -i ! ppp0 -j ACCEPT
# On bloque les paquets non pris en compte par les chaînes précédentes 
/sbin/iptables -A block -j DROP #redondant avec la politique par défaut
 
#On ajoute la chaîne "block" a la chaîne INPUT de la table "filter" 
/sbin/iptables -A INPUT -j block
#On ajoute la chaîne "block" a la chaîne FORWARD de la table filter 
/sbin/iptables -A FORWARD -j block
 
# On fait du masquerade 
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Reply to:

References:
- Passerelle
  - From: Thierry Leurent <thierry.leurent@wanadoo.be>

Prev by Date: iptables
Next by Date: Re: iptables
Previous by thread: Re: Passerelle
Next by thread: Re: Passerelle
Index(es):
- Date
- Thread