Re: Fw: FORWARD FTP un peu bancal
Le 12186ième jour après Epoch,
François Boisson écrivait:
> Je pense que tu t'y prends mal, commence par faire les règles minimales de
> transfert:(sortie supposée sur ppp0)
>
>
> # iptables -t nat -F
> # iptables -F INPUT
> # iptables -F OUTPUT
> # iptables -F FORWARD
> # iptables -P INPUT ACCEPT
> # iptables -P OUTPUT ACCEPT
> # iptables -P FORWARD ACCEPT
Mettre la valeur par défaut à accept me semble un peu dangereux... Je suis parti
du principe de tout dropper par défaut, et puis j'ouvre au fur et à mesure des
besoins.
Ensuite, j'ai créé une chaine nommée CONNECTED, de la façon suivante:
$ipt -N CONNECTED
$ipt -A CONNECTED -m state --state NEW -o ppp0 -j ACCEPT
$ipt -A CONNECTED -m state --state NEW -o eth0 -j ACCEPT
$ipt -A CONNECTED -m state --state ESTABLISHED,RELATED -j ACCEPT
Qui accepte donc tout ce qui sort de la machine par ppp0 ou eth0 (Le net et mon
brin réseau interne), ou qui est relatif à ça...
Puis trois règles du genre:
$ipt -A INPUT -j CONNECTED
$ipt -A OUTPUT -j CONNECTED
$ipt -A FORWARD -j CONNECTED
Qui n'acceptent que ce qui matche le status CONNECTED
et enfin une règle de mascarade:
$ipt -t nat -A POSTROUTING -s xxx.yyy.zzz.0/24 -o ppp0 -j MASQUERADE
où xxx.yyy.zzz.0 est mon réseau local classe C.
> # echo "1" > /proc/sys/net/ipv4/ip_forward
Oui, bien sûr, ou alors dans le fichier de config /etc/network/options
ip_forward=yes
--
Lisez la FAQ: http://savannah.nongnu.org/download/debfr-faq/html/
--
François TOURDE - tourde.org - 23 rue Bernard GANTE - 93250 VILLEMOMBLE
Tél: 01 49 35 96 69 - Mob: 06 81 01 81 80
eMail: mailto:francois@tourde.org - URL: http://francois.tourde.org/
Reply to: