Re: Firewall ipchains + Masq
On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote:
> Bonjour,
>
> Ma config est la suivante:
>
> LAN: 192.168.0.0/24
> GW: 192.168.0.3/24
>
>
> LAN ------ eth1 ----- GW ----eth1----- modem ADSL -------- INET
>
> Le but est de faire un fw ipchains permettant aux LAN d'effectuer des
> connections vers internet
> mais la GW doit rester inaccessible depuis l'exterieur
>
> Bref du grand classique
>
> Il y a une chose que je ne m'explique pas, ma machine GW reste
> exposée a 100% avec mes regles ipchains (voir ci dessous)
> et ce comme me le montre un scan de port ou des tentatives de ssh
> depuis l'exterieur....
>
> Pouvez vous m'indiquer ce que je fais mal (pas ?)
> D'avance merci pour votre aide au combien precieuse :-)
>
>
> Fichier fw_init.sh
> ---------------------------------------------------------------------
> ---------------
> #!/bin/sh
>
> ipchains="/sbin/ipchains"
>
> $ipchains -F
> $ipchains -X
> $ipchains -P input ACCEPT
> $ipchains -P forward ACCEPT
> $ipchains -P output ACCEPT
>
> # MASQ
> ipchains -I forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0
>
> # Deny all input on ifnet
> $ipchains -A input -s 0.0.0.0/0 -d 192.168.0.2 -p all -j DENY -i
> eth0
> $ipchains -A output -s 192.168.0.2 -d 192.168.0.3 -p tcp -j
> ACCEPT -i eth1
> $ipchains -A input -s 192.168.0.3 -d 192.168.0.2 -p tcp -j
> ACCEPT -i eth1
> $ipchains -A output -s 192.168.0.2 -d 192.168.0.3 -p udp -j
> ACCEPT -i eth1
> $ipchains -A input -s 192.168.0.3 -d 192.168.0.2 -p udp -j
> ACCEPT -i eth1
> ---------------------------------------------------------------------
Selon Chacun la politique de securite sera tres differente,
en principe un bon debut est de dire j'interdit tout:
${prg} -F
${prg} -P input DENY
${prg} -P output DENY
${prg} -P forward DENY
Ensuite tu vas definir les packets entrants, sortants, forwardes, masques
selon les adresses, protocoles et les ports.
exemple:
ipchains -A input -j ACCEPT -p tcp -s ${default} 1024:65535 \
-d ${inetip} ${name}
Donc dans ton cas il manque les ports !
Comme je le disais hier j'ai debute avec des scripts a la main, tres long
et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes
qui marche bien.
Bonne chance
Tony
> ---------------------
>
>
>
> _________________________________________________________
> Do You Yahoo!?
> Get your free @yahoo.com address at http://mail.yahoo.com
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
--
Tony Schonfeld * F5GIT * Phone: +33 675 236 530
Email: tony@schonfeld.eu.org - WWW: http://www.schonfeld.eu.org
--
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to: