iptables : quelques réglages
Je me suis vraiment mis à iptables.
J'ai étudié toute la syntaxe.
(meme si je ne sais pas exactement ce qu'est un port(!),et les différences
entre les protocoles tcp,udp,icmp : si vous avez une URL ou c bien expliqué
..)
BREF: je me suis donc fait un script perso (ci-joint)
-J'ai authorisé ssh sur le serveur,dns.
-connections aux ports 80:
$IPT -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j
ACCEPT
$IPT -A INPUT -i ppp0 -m state --state NEW,ESTABLISHED -p tcp --sport
80 -j ACCEPT
--->mais cela empeche l'accès de l'extérieur vers mon serveur apache :
POURQUOI ??????
Et donc comment authoriser l'accès de l'extérieur vers mon site ???
-tout sur l'intranet :
$IPT -A FORWARD -i eth0 -o ppp0 -j ACCEPT
$IPT -A FORWARD -o eth0 -i ppp0 -j ACCEPT
------> apparemment cela authorise les mail,icq,forums,etc.... :-) Est-ce
dangeureux ???
Merci.
voici mon script iptables :
echo "Starting firewall :"
$IPT -F
$IPT -X
$IPT -N LOG_DROP
$IPT -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
$IPT -A LOG_DROP -j DROP
$IPT -N LOG_ACCEPT
$IPT -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
$IPT -A LOG_ACCEPT -j ACCEPT
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
# Sans réfléchir, on va tout accepter sur
# la machine en local (interface lo).
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
#on accepte tout ce qui se passe sur l'intranet
$IPT -A INPUT -s 192.168.1.1/24 -j ACCEPT
$IPT -A OUTPUT -d 192.168.1.1/24 -j ACCEPT
$IPT -A FORWARD -s 192.168.1.1/24 -j ACCEPT
#ssh
#$IPT -A INPUT -i eth0 -s 192.168.1.1/24 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j ACCEPT
#$IPT -A OUTPUT -o eth0 -d 192.168.1.1/24 -m state --state ESTABLISHED -p
tcp --sport 22 -j ACCEPT
$IPT -A INPUT -i ppp0 -s 0/0 -m state --state NEW,ESTABLISHED -p tcp --dport
22 -j ACCEPT
$IPT -A OUTPUT -o ppp0 -d 0/0 -m state --state ESTABLISHED -p tcp --sport
22 -j ACCEPT
#nfs
#$IPT -A INPUT -i eth0 -s 192.168.1.1/24 --dport 111 -j ACCEPT
#$IPT -A INPUT -i eth0 -s 192.168.1.1/24 --dport 2049 -j ACCEPT
#$IPT -A INPUT -i eth0 -s 192.168.1/24 --dport 2219 -j ACCEPT
#pour dns
$IPT -A INPUT -i ppp0 -p udp --sport 53 -j ACCEPT
$IPT -A OUTPUT -o ppp0 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i ppp0 -p tcp --sport 53 -j ACCEPT
$IPT -A OUTPUT -o ppp0 -p tcp --dport 53 -j ACCEPT
#on accepte les connexions serveur web
$IPT -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j
ACCEPT
$IPT -A INPUT -i ppp0 -m state --state NEW,ESTABLISHED -p tcp --sport
80 -j ACCEPT
#intranet a un accès complet à internet.
$IPT -A FORWARD -i eth0 -o ppp0 -j ACCEPT
$IPT -A FORWARD -o eth0 -i ppp0 -j ACCEPT
#masquer l'intranet
$IPT -t nat -A POSTROUTING -s 192.168.1.1/24 -o ppp0 -d 0/0 -j MASQUERADE
#on refuse tout le reste !
$IPT -A INPUT -j LOG_DROP
$IPT -A OUTPUT -j LOG_DROP
echo " Firewall lancé"
--
gcolpart web site : http://gcolpart.dyndns.org
Reply to: