Re: Firewall ipchains + Masq

To: Dodger Web <dodger_web@yahoo.fr>
Cc: debian-user-french@lists.debian.org
Subject: Re: Firewall ipchains + Masq
From: Tony Schonfeld <tony@schonfeld.eu.org>
Date: Wed, 10 Apr 2002 10:31:20 +0200
Message-id: <[🔎] 20020410103120.A4578@schonfeld.eu.org>
In-reply-to: <[🔎] 001a01c1e06a$5a53c880$a302a8c0@pratx.alx.fr>; from dodger_web@yahoo.fr on Wed, Apr 10, 2002 at 10:32:51AM +0200
References: <[🔎] 001a01c1e06a$5a53c880$a302a8c0@pratx.alx.fr>

On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote:
> Bonjour,
> 
> Ma config est la suivante:
> 
> LAN: 192.168.0.0/24
> GW: 192.168.0.3/24
> 
> 
> LAN ------ eth1 ----- GW ----eth1----- modem ADSL -------- INET
> 
> Le but est de faire un fw ipchains permettant aux LAN d'effectuer des
> connections vers internet
> mais la GW doit rester inaccessible depuis l'exterieur
> 
> Bref du grand classique
> 
> Il y a une chose que je ne m'explique pas, ma machine GW reste
> exposée a 100% avec mes regles ipchains (voir ci dessous)
> et ce comme me le montre un scan de port ou des tentatives de ssh
> depuis l'exterieur....
> 
> Pouvez vous m'indiquer ce que je fais mal (pas ?)
> D'avance merci pour votre aide au combien precieuse :-)
> 
> 
> Fichier fw_init.sh
> ---------------------------------------------------------------------
> ---------------
> #!/bin/sh
> 
> ipchains="/sbin/ipchains"
> 
> $ipchains -F
> $ipchains -X
> $ipchains -P input ACCEPT
> $ipchains -P forward ACCEPT
> $ipchains -P output ACCEPT
> 
> # MASQ
> ipchains -I forward -j MASQ -s 192.168.0.0/24 -d 0.0.0.0/0
> 
> # Deny all input on ifnet
> $ipchains -A input -s 0.0.0.0/0  -d 192.168.0.2  -p all -j DENY -i
> eth0
> $ipchains -A output -s 192.168.0.2  -d 192.168.0.3  -p tcp -j
> ACCEPT -i eth1
> $ipchains -A input -s 192.168.0.3  -d 192.168.0.2  -p tcp -j
> ACCEPT -i eth1
> $ipchains -A output -s 192.168.0.2  -d 192.168.0.3  -p udp -j
> ACCEPT -i eth1
> $ipchains -A input -s 192.168.0.3  -d 192.168.0.2  -p udp -j
> ACCEPT -i eth1
> ---------------------------------------------------------------------

Selon Chacun la politique de securite sera tres differente,
en principe un bon debut est de dire j'interdit tout:

${prg} -F
${prg} -P input DENY
${prg} -P output DENY
${prg} -P forward DENY

Ensuite tu vas definir les packets entrants, sortants, forwardes, masques
selon les adresses, protocoles et les ports.

exemple:

ipchains -A input -j ACCEPT -p tcp -s ${default} 1024:65535 \
-d ${inetip} ${name}

Donc dans ton cas il manque les ports ! 
Comme je le disais hier j'ai debute avec des scripts a la main, tres long
et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes
qui marche bien.

Bonne chance
Tony




> ---------------------
> 
> 
> 
> _________________________________________________________
> Do You Yahoo!?
> Get your free @yahoo.com address at http://mail.yahoo.com
> 
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> 

-- 
     Tony Schonfeld  * F5GIT * Phone: +33 675 236 530
Email: tony@schonfeld.eu.org - WWW: http://www.schonfeld.eu.org


             
 


-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: Firewall ipchains + Masq
  - From: Vazco <vazco@altern.org>

References:
- Firewall ipchains + Masq
  - From: "Dodger Web" <dodger_web@yahoo.fr>

Prev by Date: Re: xfree ?
Next by Date: Re: Debian sur Compaq Deskpro EN Series 6266
Previous by thread: Firewall ipchains + Masq
Next by thread: Re: Firewall ipchains + Masq
Index(es):
- Date
- Thread