Re: Re: [aide] iptables
Le samedi 10 août 2002, à 15:19, Grégoire Cachet écrivait :
> ce qui veut dire ?? (ouais, je sais je suis chiant ...)
Si en plus il faut expliquer... ;-)
La règle que je t'indique autorise le passage des paquets qui viennent
en réponse à ceux que tu as envoyés.
Sans cette règle, tes paquets originaires de 192.168.1.0/24 passent bien
(www.free.fr reçoit bien tes pings), mais la réponse qui leur est
donnée, ne correspondant à aucune règle de la chaîne FORWARD, est
traitée selon la politique de la chaîne : DROP (tu ne reçoit donc pas la
réponse de www.free.fr sur zwiffer, mais tu te rendrais compte, si tu
loguais les paquets dropés par la chaîne Forward sur la passerelle,
qu'ils sont bien arrivés jusque là).
Je te renvoie à man iptables, § state, pour la signification des
différents états.
Le processus de traversée des différentes tables est très bien expliqué
dans le tutoriel d'Oskar Andreasson :
http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html#TRAVERSINGOFTABLES
> > Je me rends compte en relisant mon message d'hier soir qu'on ne devrait
> > jamais répondre après une soirée bien arrosée et alors qu'il est temps
> > d'aller se coucher...
> >
>
> c'est possible ;-)
Ma remarque sur le log des paquets est un relent d'ipchains, tout comme
le fait que je n'ai pas vu tout de suite ce qui manquait dans tes règles
(les paquets liés à une connexion « masqueradée » ne retraversent pas
la chaîne forward, avec ipchains - qui ne permet pas le suivi de
connexion).
Ma remarque disant que « c'est pas bien » mérite d'être modérée. Après
tout, ce qui t'intéresse, c'est la translation d'adresses, pas le
filtrage des paquets (pour autant que je puisse en juger). Et il vaut
mieux être attentif à la configuration des démons et à la gestion des
droits que faire n'importe quoi en se disant « De toute façon, j'ai un
pare-feu pour empêcher les intrusions ». C'est une mesure de protection
parmi d'autres, et ce n'est pas la plus importante.
Mais si tu veux vraiment mettre en place un filtrage de paquet, une
politique ACCEPT, c'est pas ce qu'il y a de mieux : tu laisseras passer
tout ce que tu n'as pas prévu.
Pour en revenir à ton problème initial et résumer, je te suggère (avec
une politique de FORWARD à DROP) :
# Je te conseille de créer une chaîne spécifique pour les interdictions
# explicites. Ça te permet d'y faire des ajouts ou des modifications
# sans te soucier de l'ordre des règles. Et ça en rend la relecture plus
# aisée.
iptables -N restrictions
iptables -A restrictions -s 192.168.1.2 -d 213.193.13.0/24 -j DROP
# On commence par vérifier les restrictions.
iptables -A FORWARD -j restrictions
# Autorisation des paquets destinés au nat.
iptables -A FORWARD -s 192.168.1.0/24 -j ACCEPT
# Autorisation des paquets liés à une connexion en cours.
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Après avoir vérifié que ça fait bien ce que tu veux, un
/etc/init.d/iptables save_active (ou save <nom_que_tu_veux>) montre que
ce message a parfaitement sa place sur la liste... ;-)
Reply to: