Re: pb iptables

To: debian-user-french@lists.debian.org
Subject: Re: pb iptables
From: Mourad Jaber <ml-count@lundarael.dyndns.org>
Date: Mon, 22 Sep 2003 14:12:07 +0200
Message-id: <[🔎] 3F6EE717.7070702@lundarael.dyndns.org>
In-reply-to: <011501c380f5$43610340$0502a8c0@neptune>
References: <[🔎] 3F6EBB6F.3040004@lundarael.dyndns.org> <011501c380f5$43610340$0502a8c0@neptune>

Si je passe en ACCEPT, ça marche, mais tout est accepté donc le fw nesert a rien !

Thx
Yanick Lefebvre wrote:

Salut Mourad,

Si je ne me trompe pas, l'erreur se produirais ici !

#Politique par defaut
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

DROP est la pour refuser tous les datagrammes. Remplace DROP par ACCEPT. Et
relance ton pare-feu voir.

J'espere que cela pourra t'aider !

Bonjour,
J'ai un pb d'iptables, j'ai récupéré un script sur lea-linux, et il
semble tout bloquer quand je le lance, ma passerelle cesse totalement de
répondre :(
Tout se passe comme si la policy par defaut prennait le pas sur tout...
Quelqu'un aurait une idée ?
Ma config : debian woody kernel 2.4.22 ( netfilter + QoS ), l'eth0 est
connecté à mon modem Router ( diva 2430TE configuré en bridge ) et mon
réseau interne est en 10.1.1.0/24 en DHCP
@ +

Mourad


#!/bin/sh

IPTABLES=/usr/local/sbin/iptables
MODPROBE=/sbin/modprobe

#définition des interfaces réseau
EX_IF="eth0"
IN_IF="eth1"

$MODPROBE ipt_conntrack
$MODPROBE ipt_tos
$MODPROBE ipt_TOS
$MODPROBE ipt_state
$MODPROBE ipt_multiport
$MODPROBE iptable_filter

$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -Z


#Politique par defaut
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

#DROP des packets invalides
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

#localhost
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A FORWARD -i lo -j ACCEPT
$IPTABLES -A FORWARD -o lo -j ACCEPT

#interface interne
$IPTABLES -A INPUT -i $IN_IF -j ACCEPT
$IPTABLES -A OUTPUT -o $IN_IF -j ACCEPT
$IPTABLES -A FORWARD -i $IN_IF -j ACCEPT
$IPTABLES -A FORWARD -o $IN_IF -j ACCEPT

#logs
$IPTABLES -N LOG_DROP
$IPTABLES -A LOG_DROP -j LOG --log-prefix "[IPTABLES] "
$IPTABLES -A LOG_DROP -j DROP

#Masquerading
$IPTABLES -t nat -A POSTROUTING -s 10.1.1.0/24 -j MASQUERADE

#Gestion du QoS favorise le ssh et vnc
$IPTABLES -A PREROUTING -t mangle -p tcp --sport ssh -j TOS --set-tos
Minimize-Delay
$IPTABLES -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tos
Minimize-Delay

$IPTABLES -A PREROUTING -t mangle -p tcp --sport 5900 -j TOS --set-tos
Maximize-Throughput
$IPTABLES -A PREROUTING -t mangle -p tcp --dport 5900 -j TOS --set-tos
Maximize-Throughput
$IPTABLES -A PREROUTING -t mangle -p tcp --sport 5901 -j TOS --set-tos
Maximize-Throughput
$IPTABLES -A PREROUTING -t mangle -p tcp --dport 5901 -j TOS --set-tos
Maximize-Throughput

#Autorisation du dns...
$IPTABLES -A INPUT -i $EX_IF --protocol udp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $EX_IF --protocol udp --destination-port 53 -j

ACCEPT

$IPTABLES -A INPUT -i $EX_IF --protocol tcp --source-port 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $EX_IF --protocol tcp --destination-port 53 -j
ACCEPT

#Autorisation du SSH
$IPTABLES -A INPUT -i $EX_IF -p tcp --sport ssh -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $EX_IF -p tcp --dport ssh -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT

$IPTABLES -A INPUT -p tcp --sport 67 -m state --state NEW,ESTABLISHED -j
ACCEPT
$IPTABLES -A OUTPUT -p tcp --dport 67 -m state --state NEW,ESTABLISHED
-j ACCEPT

$IPTABLES -A INPUT -p udp --sport 67 -m state --state NEW,ESTABLISHED -j
ACCEPT
$IPTABLES -A OUTPUT -p udp --dport 67 -m state --state NEW,ESTABLISHED
-j ACCEPT

#Autorisation et forward du VNC
$IPTABLES -A INPUT -p tcp --dport 5900 -m state --state NEW,ESTABLISHED
-j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 5900 -j DNAT
--to 10.1.1.7:5900

$IPTABLES -A INPUT -p tcp --dport 5901 -m state --state NEW,ESTABLISHED
-j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 5901 -j DNAT
--to 10.1.1.7:5901

#Autorisation / limitation du ping
$IPTABLES -A INPUT -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -p icmp -m state --state NEW -m limit --limit 10/min
-j ACCEPT

# configuration  routing emule
$IPTABLES -A INPUT -p tcp --dport 4661 -m state --state NEW -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 4661 -j DNAT
--to 10.1.1.5:4661
$IPTABLES -A INPUT -p udp --dport 4671 -m state --state NEW -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p udp --dport 4671 -j DNAT
--to 10.1.1.5:4671
$IPTABLES -A INPUT -p tcp --dport 4662 -m state --state RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p tcp --dport 4662 -j DNAT
--to 10.1.1.7:4662
$IPTABLES -A INPUT -p udp --dport 4672 -m state --state RELATED -j ACCEPT
$IPTABLES -t nat -A PREROUTING -i $EX_IF -p udp --dport 4672 -j DNAT
--to 10.1.1.7:4672

# permission du Resume de l'IRC
$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED
--ctproto tcp -j ACCEPT
$IPTABLES -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED
--ctproto udp -j ACCEPT



--
Pensez à lire la FAQ de la liste avant de poser une question :
http://savannah.nongnu.org/download/debfr-faq/html/

To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact

listmaster@lists.debian.org

Reply to:

Follow-Ups:
- Re: pb iptables
  - From: Yann Forget <yann@forget-me.net>

References:
- pb iptables
  - From: Mourad Jaber <ml-count@lundarael.dyndns.org>

Prev by Date: Re: Halt au spam
Next by Date: Re: [SENDMAIL] recevoir un mail a root@adresse-ip
Previous by thread: Re: pb iptables
Next by thread: Re: pb iptables
Index(es):
- Date
- Thread