pb iptables

To: debian-user-french@lists.debian.org
Subject: pb iptables
From: Mourad Jaber <ml-count@lundarael.dyndns.org>
Date: Mon, 22 Sep 2003 11:05:51 +0200
Message-id: <[🔎] 3F6EBB6F.3040004@lundarael.dyndns.org>

Bonjour,

J'ai un pb d'iptables, j'ai récupéré un script sur lea-linux, et ilsemble tout bloquer quand je le lance, ma passerelle cesse totalement derépondre :(

Tout se passe comme si la policy par defaut prennait le pas sur tout...
Quelqu'un aurait une idée ?

Ma config : debian woody kernel 2.4.22 ( netfilter + QoS ), l'eth0 estconnecté à mon modem Router ( diva 2430TE configuré en bridge ) et monréseau interne est en 10.1.1.0/24 en DHCP

@ +

Mourad


#!/bin/sh

IPTABLES=/usr/local/sbin/iptables
MODPROBE=/sbin/modprobe

#définition des interfaces réseau
EX_IF="eth0"
IN_IF="eth1"

$MODPROBE ipt_conntrack
$MODPROBE ipt_tos
$MODPROBE ipt_TOS
$MODPROBE ipt_state
$MODPROBE ipt_multiport
$MODPROBE iptable_filter

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -Z


#Politique par defaut
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#DROP des packets invalides
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

#localhost
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT

#interface interne
$IPTABLES -A INPUT -i $IN_IF -j ACCEPT
$IPTABLES -A OUTPUT -o $IN_IF -j ACCEPT
$IPTABLES -A FORWARD -i $IN_IF -j ACCEPT
$IPTABLES -A FORWARD -o $IN_IF -j ACCEPT

#logs
$IPTABLES -N LOG_DROP
$IPTABLES -A LOG_DROP -j LOG --log-prefix "[IPTABLES] "
$IPTABLES -A LOG_DROP -j DROP

#Masquerading
$IPTABLES -t nat -A POSTROUTING -s 10.1.1.0/24 -j MASQUERADE

#Gestion du QoS favorise le ssh et vnc

$IPTABLES -A PREROUTING -t mangle -p tcp --sport ssh -j TOS --set-tosMinimize-Delay$IPTABLES -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tosMinimize-Delay

$IPTABLES -A PREROUTING -t mangle -p tcp --sport 5900 -j TOS --set-tosMaximize-Throughput$IPTABLES -A PREROUTING -t mangle -p tcp --dport 5900 -j TOS --set-tosMaximize-Throughput$IPTABLES -A PREROUTING -t mangle -p tcp --sport 5901 -j TOS --set-tosMaximize-Throughput$IPTABLES -A PREROUTING -t mangle -p tcp --dport 5901 -j TOS --set-tosMaximize-Throughput


#Autorisation du dns...
$IPTABLES -A INPUT -i $EX_IF --protocol udp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $EX_IF --protocol udp --destination-port 53 -j ACCEPT
$IPTABLES -A INPUT -i $EX_IF --protocol tcp --source-port 53 -j ACCEPT

$IPTABLES -A OUTPUT -o $EX_IF --protocol tcp --destination-port 53 -jACCEPT


#Autorisation du SSH

$IPTABLES -A INPUT -i $EX_IF -p tcp --sport ssh -m state --stateNEW,ESTABLISHED,RELATED -j ACCEPT$IPTABLES -A OUTPUT -o $EX_IF -p tcp --dport ssh -m state --stateNEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 67 -m state --state NEW,ESTABLISHED -jACCEPT$IPTABLES -A OUTPUT -p tcp --dport 67 -m state --state NEW,ESTABLISHED-j ACCEPT

$IPTABLES -A INPUT -p udp --sport 67 -m state --state NEW,ESTABLISHED -jACCEPT$IPTABLES -A OUTPUT -p udp --dport 67 -m state --state NEW,ESTABLISHED-j ACCEPT


#Autorisation et forward du VNC

$IPTABLES -A INPUT -p tcp --dport 5900 -m state --state NEW,ESTABLISHED-j ACCEPT$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 5900 -j DNAT--to 10.1.1.7:5900

$IPTABLES -A INPUT -p tcp --dport 5901 -m state --state NEW,ESTABLISHED-j ACCEPT$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 5901 -j DNAT--to 10.1.1.7:5901


#Autorisation / limitation du ping
$IPTABLES -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min-j ACCEPT


# configuration  routing emule
$IPTABLES -A INPUT -p tcp --dport 4661 -m state --state NEW -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 4661 -j DNAT--to 10.1.1.5:4661

$IPTABLES -A INPUT -p udp --dport 4671 -m state --state NEW -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EX_IF -p udp --dport 4671 -j DNAT--to 10.1.1.5:4671

$IPTABLES -A INPUT -p tcp --dport 4662 -m state --state RELATED -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 4662 -j DNAT--to 10.1.1.7:4662

$IPTABLES -A INPUT -p udp --dport 4672 -m state --state RELATED -j ACCEPT

$IPTABLES -t nat -A PREROUTING -i $EX_IF -p udp --dport 4672 -j DNAT--to 10.1.1.7:4672


# permission du Resume de l'IRC

$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED--ctproto tcp -j ACCEPT$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED--ctproto udp -j ACCEPT

Reply to:

Follow-Ups:
- Re: pb iptables
  - From: jean-michel OLTRA <jm.oltra@espinasse.net>

Prev by Date: Re: Halt au spam
Next by Date: Re: Problème de fonts GTK/GNOME
Previous by thread: Re: cdrecord problème avec cdrw plextor
Next by thread: Re: pb iptables
Index(es):
- Date
- Thread