Re: Fw: FORWARD FTP un peu bancal

To: debian-user-french@lists.debian.org
Subject: Re: Fw: FORWARD FTP un peu bancal
From: François Boisson <francois@boisson.homeip.net>
Date: Thu, 15 May 2003 20:26:01 +0000
Message-id: <[🔎] 20030515202601.0b91c6ed.francois@boisson.homeip.net>
In-reply-to: <[🔎] 87u1bw7677.fsf@tourde.org>
References: <[🔎] 022301c319eb$fbadb4a0$1001a8c0@steph> <[🔎] 20030514110912.6435b622.user@maison.homelinux.net> <[🔎] 87u1bw7677.fsf@tourde.org>

On 15 May 2003 14:19:40 +0200
francois@tourde.org (François TOURDE) wrote:

> Le 12186ième jour après Epoch,
> François Boisson écrivait:
> 
> > Je pense que tu t'y prends mal, commence par faire les règles
> > minimales de transfert:(sortie supposée sur ppp0)
> > 
> > 
> > # iptables -t nat -F
> > # iptables -F INPUT
> > # iptables -F OUTPUT
> > # iptables -F FORWARD
> > # iptables -P INPUT ACCEPT 
> > # iptables -P OUTPUT ACCEPT 
> > # iptables -P FORWARD ACCEPT 
> 
> Mettre la valeur par défaut à accept me semble un peu dangereux... Je
> suis parti du principe de tout dropper par défaut, et puis j'ouvre au
> fur et à mesure des besoins.

Le but ici est de savoir la règle qui coince, il est plus facile de partir
de qque chose qui marche et de voir le blocage se manifester que
l'inverse.


> 
> Ensuite, j'ai créé une chaine nommée CONNECTED, de la façon suivante:
> 
> $ipt -N CONNECTED
> $ipt -A CONNECTED -m state --state NEW -o ppp0 -j ACCEPT
> $ipt -A CONNECTED -m state --state NEW -o eth0 -j ACCEPT
> $ipt -A CONNECTED -m state --state ESTABLISHED,RELATED -j ACCEPT
> 
> Qui accepte donc tout ce qui sort de la machine par ppp0 ou eth0 (Le net
> et mon brin réseau interne), ou qui est relatif à ça...
> 
> Puis trois règles du genre:
> 
> $ipt -A INPUT -j CONNECTED
> $ipt -A OUTPUT -j CONNECTED
> $ipt -A FORWARD -j CONNECTED
> 
> Qui n'acceptent que ce qui matche le status CONNECTED
> 
> et enfin une règle de mascarade:
> 
> $ipt -t nat -A POSTROUTING -s xxx.yyy.zzz.0/24 -o ppp0 -j MASQUERADE
> 
> où xxx.yyy.zzz.0 est mon réseau local classe C.
> 
> > # echo "1" > /proc/sys/net/ipv4/ip_forward
> 
> Oui, bien sûr, ou alors dans le fichier de config /etc/network/options
> ip_forward=yes
> 
> 
> -- 
> Lisez la FAQ: http://savannah.nongnu.org/download/debfr-faq/html/
> --
> François TOURDE - tourde.org - 23 rue Bernard GANTE - 93250 VILLEMOMBLE
> Tél: 01 49 35 96 69 - Mob: 06 81 01 81 80
> eMail: mailto:francois@tourde.org - URL: http://francois.tourde.org/
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>

Reply to:

Follow-Ups:
- Re: Fw: FORWARD FTP un peu bancal
  - From: francois@tourde.org (François TOURDE)
- Re: Fw: FORWARD FTP un peu bancal
  - From: "Stephane Toussaint" <proner@wanadoo.fr>

References:
- Fw: FORWARD FTP un peu bancal
  - From: "Stephane Toussaint" <proner@wanadoo.fr>
- Re: Fw: FORWARD FTP un peu bancal
  - From: François Boisson <user@maison.homelinux.net>
- Re: Fw: FORWARD FTP un peu bancal
  - From: francois@tourde.org (François TOURDE)

Prev by Date: Re: compiler klineakconfig ou autres applis pour kde
Next by Date: [HS] Dep68 RHLL Réunion Haut-rhinoise des Logiciels Libres
Previous by thread: Re: Fw: FORWARD FTP un peu bancal
Next by thread: Re: Fw: FORWARD FTP un peu bancal
Index(es):
- Date
- Thread