2006/5/9, Erick FURCY <erick@furcy.net>:
Je sais qu'on peut mettre en place un proxy transparent pour les
requetes web :
$IPTABLES -t nat -A PREROUTING -i $eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128
Proxy transparent : squid + une règle de nat.
Cette règle redirige le trafic entrant sur l'interface eth0 (pourquoi $eth0 d'ailleur ?) à destination du port 80 vers le port 3128 de la même machine.
Donc apparement, vous avez un squid tu cette machine.
Cela ne bloque pas le traffic, à moins que squid ne le fasse.
Est-il possible de faire la même chose pour bloquer msn et le
téléchargement ????
Bon, une bonne politique quand on met en oeuvre un parefeu est de tout bloquer et d'ouvrir uniquement les flux dont on a besoin. Dans votre cas, il convient tout d'abord de rajouter en début de script :
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
Pour supprimer la configuration de netfilter.
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Pour interdire tout traffic.
Ensuite, il y a le traitement des chaines IPTABLES :
INPUT traite des paquets entrants sur le parefeu
OUTPUT traite des paquets sortant du parefeu
FORWARD traite du transport des paquets d'une interface à une autre.
Avec les commande que je vous ai indiqué, tout le traffic est interrompu. Sans entrer dans le détail du contrôle des paquets invalides, du syn flooding ... La mini configuration ci-dessous ne laisse passer que le traffic HTTP en passant par un proxy situé sur la même machine. La patte internet (sur votre réseau local) est eth0 ; la patte externe (vers Internet) est eth1.
$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --j REDIRECT --to-port 3128
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 80 -j ACCEPT
Seul ce traffic fonctionnera. Pour autoriser le SMTP (si aucun relais smtp n'est présent sur votre parefeu), il faut rajouter :
$IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -m state --state NEW --syn -j ACCEPT
Bien sûr, il faudra aussi autoriser tout le trafic relatif au connexion ouvertes à revenir :
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
Patrice.
--
* Powered by Linux-ubuntu with Thunderbird *
Linux user #345187
Pura Vida
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org