Re: Firewall
> J'ai deja regarde la doc de iptable mais je ne suis absolument pas a l'aise
> avec ce soft. Quelqu'un aurait-il un soft cool pour configure mon firewall
> ou mieux un bon script que je pourrais appliquer. Je voudrais autoriser le
> plus de protocols possibles mais surtout eviter les connections venant de
> l'exterieur.
Voici mon script
Tu peux t'en inspirez
#!/bin/sh
#Je vide toutes les ancienne regles
/root/./flushfirewall
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Je veux pas de spoofing
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
# pas de icmp
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# on va charger quelques modules supplémentaires pour
# gérer la translation d'adresse, l'IRC et le FTP
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
#Je refuse tous par défault
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Pour éviter les problèmes, on va tout accepter sur
# la machine en local (interface lo).
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#J'acceppte que 2 machines puisse se conecter sur mon firewall
iptables -A INPUT -i eth0 -s 192.168.0.5 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.5 -m state --state ESTABLISHED -p tcp
--sport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.7 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.0.7 -m state --state ESTABLISHED -p
tcp --sport 22 -j ACCEPT
#Le lan qui es sur eth0 as accés au web
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth0 -i ppp0 -j ACCEPT
# Il faut permettre à l'ensemble du LAN de dialoguer
# sur internet avec la même adresse IP
iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -j MASQUERADE
# Pour faire flatter mon égau ;-)
echo "Maitre vous pouvez vous servir de votre connexion"
# c'est enfin fini
Second script flushfirewall
!/bin/sh
# On remet la police par défaut à ACCEPT
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
# On remet les polices par défaut pour la table NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
# On vide (flush) toutes les règles existantes
iptables -F
iptables -t nat -F
# Et enfin, on efface toutes les chaînes qui ne
# sont pas à defaut dans la table filter et nat
iptables -X
iptables -t nat -X
# Pour faire flatter mon égau ;-)
echo "Maitre je viens de vider les regles que vous m'aviez donné"
Bref voila mes 2 script et il marche tres bien
--
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Reply to:
- Follow-Ups:
- Re: Firewall
- From: Sylvain LE GALL <sylvain.le-gall@polytechnique.org>
- References:
- Firewall
- From: Thierry Leurent <thierry.leurent@linuxbe.org>