Re: Cherche aide sur Firewall Linux Iptable
Est-ce vraiment un truc de devel ? (je sais pas je suis neuf)
Ceci dit, voila...
Perso, j'ai opté pour une stratégie ouverte, c'est plus simple a
debugger. Par contre il faut faire un peu gaffe à maitriser ce que tu
fais tourner...
Commentaires welcome (je sais paranoia sur portmap, meme avec
hosts.{allow,deny} bien foutus je me sentais pas en confiance)
(btw, j'ai vu xinetd non recommande... Comment faire pour avoir un
service seulement sur rezal interne sans bétonner iptables ?)
---iptables.rules---
(nat de ip_externe 192.168.254.69, eth1
vers res. interne 10.0.0.0/8 eth0)
-------
IP_LOCALE=192.168.254.69
iptables -P FORWARD DROP # le reste a accept ...
#On aide notre sous-reseau
iptables -A FORWARD -s 10.0.0.0/8 -o eth1 -j ACCEPT
##NAT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -m state --state NEW,RELATED,ESTABLISHED -i ! eth1 -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Portmap
iptables -A INPUT -p udp -i eth1 -d 19.168.254.69 --dport 111 -j DROP
iptables -A INPUT -p tcp -i eth1 -d 19.168.254.69 --dport 111 -j REJECT --reject-with icmp-port-unreachable
#syslog
iptables -A INPUT -p udp -i eth1 -d 19.168.254.69 --dport 514 -j DROP
##antispoof Mais *pkoi* pas les rp_filters.... y a un truc... (flexibilité.?)
#-> si routage asymétrique mais la bordel... A creuser
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Merci pour ceux qui ont eu la patience...
--
I don't have any solution but I certainly admire the problem.
Reply to: