Re: Passerelle

To: debian-user-french@lists.debian.org
Subject: Re: Passerelle
From: "RAUX Jean-Michel" <abraxas@admin2k.net>
Date: Mon, 6 Oct 2003 04:13:50 +0200 (CEST)
Message-id: <[🔎] 55564.192.168.1.10.1065406430.squirrel@big.in.admin2k.net>
Reply-to: "RAUX Jean-Michel" <abraxas@admin2k.net>
In-reply-to: <[🔎] 20031005234328.3f2d9f28.thierry.leurent@wanadoo.be>
References: <[🔎] 20031005234328.3f2d9f28.thierry.leurent@wanadoo.be>

echo 1 > /proc/sys/net/ipv4/ip_forward

IPT="/sbin/iptables"

### Remise a zero de toutes les tables et compteurs ###

        $IPT -F
        $IPT -F -t nat
        $IPT -F INPUT
        $IPT -F OUTPUT
        $IPT -F FORWARD
        $IPT -F -t mangle
        $IPT -X
        $IPT -Z


### Definition des policies par defaut ###

        $IPT -P INPUT DROP
        $IPT -P OUTPUT DROP
        $IPT -P FORWARD DROP


### Log de toutes les connexions refusees ###

        $IPT -N log-bad
        $IPT -A log-bad -m limit --limit 15/minute -j LOG --log-prefix
IPT_New_Conx_BAD_:
        $IPT -A log-bad -j DROP


### Regles sur la table INPUT ###

        $IPT -A INPUT -i lo -j ACCEPT
        $IPT -A INPUT -i eth0 -j ACCEPT
        $IPT -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT
        $IPT -A INPUT -i ppp0 -j log-bad


### Regles sur la table OUTPUT ###

        $IPT -A OUTPUT -o lo -j ACCEPT
        $IPT -A OUTPUT -o eth0 -j ACCEPT
        $IPT -A OUTPUT -o ppp0 -j log-bad


### Regles sur la table NAT/POSTROUTING ###

        $IPT -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


### Regles sur la table FORWARD ###

        $IPT -A FORWARD -i pppo -m state --state ESTABLISHED,RELATED -j
ACCEPT
        $IPT -A FORWARD -i lo -j ACCEPT
        $IPT -A FORWARD -o lo -j ACCEPT
        $IPT -A FORWARD -o ppp0 -j log-bad
###########################################################################

Voila, j'espere que ca va t'aider a demarrer dans un premier temps, mais
un firewall c'est personnel; je te conseille donc vivement de te plonger
un peu dans la doc pour l'adapter a tes besoins voir pour proceder
differement.

Ce script comporte une chaine "log-bad" qui met une ligne de log dans
/var/log/syslog par paquet qui lui est envoye (ds la limite de 15
paquets/min), puis drop le paquet.

Tous les paquets entrant ou sortant par ppp0 sont envoyes ds cette chaine.
$IPT -A INPUT -i ppp0 -j log-bad
$IPT -A OUTPUT -o ppp0 -j log-bad
Donc aucune nouvelle connection ne sort ni entre par ppp0 mais c'est logue.



Seul le retour d'une connection etablie par ta passerelle peut entrer.
$IPT -A INPUT -s 0/0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Seul le retour d'une connection etablie par un poste derriere ta
passerelle, peut etre forwarde vers ce poste.
$IPT -A FORWARD -i pppo -m state --state ESTABLISHED,RELATED -j ACCEPT

Tu as donc juste a autoriser les nouvelles connections vers l'exterieur
sur les protocoles necessaires, dans la table OUTPUT pour ta passerelle et
FORWARD pour les autres postes; et les reponses seront gerees par les deux
regles precedentes.
Exemple pour authoriser ta passerelle a sortir sur le port 80:
$IPT -A OUTPUT -o ppp0 -p tcp -s 0/0 --dport 80 -j ACCEPT
Exemple pour authoriser les autres postes a sortir sur le port 80:
$IPT -A FORWARD -o ppp0 -p tcp -s 0/0 --dport 80 -j ACCEPT

*** il faut ajouter ces regles au dessus de celles qui renvoient vers
log-bad***
sinon elles ne sont pas prises en compte.

Ca fait un bout de temps que je n avais pas mis le nez ds iptables,
j'espere donc ne pas m'etre trompe. Un peu de lecture:
http://www.netfilter.org/documentation/HOWTO/fr/netfilter-hacking-HOWTO.html

Bon courage

ps : pour demarrer le script adsl, tu peux faire un lien symbolique vers
ce script dans /etc/init.d/rc2.d  pour le demarage, dans /etc/init.d/rc0.d
et
/etc/init.d/rc6.d pour l'arret

> Bonsoir,
>
> J'ai un vieux pentium 133, 48 Mo ram et 2 Go de HD.
> Je l'ai transforme en passerelle c'est a dire une carte reseau et un modem
> SpeedTouch usb.
>
> J'ai cree un petit script pour initialiser et lancer la connection.
> 	Dans ce script, j'utilise start-stop-daemon --start --pidfile
> /var/run/modem_run.pid --make-pidfile pour lancer le chargement du
> firmware du modem mais je constate que dans le fichier .pid, j'ai le pid
> du script et non de la commande lancee.... Donc un start-stop-daemon
> --stop ne fonctionne pas.
> 	Je voudrais aussi pouvoir lancer la commande adsl start automatiquement
> au demarrage et adsl stop a l'arret de la machine.
>
> J'ai cree un superbe script pour mon firewall :
> 	echo 1 > /proc/sys/net/ipv4/ip_forward
> 	iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
> 	Il fonctionne bien, meme tres bien mais il n'est pas tres secure, je
> cherche donc un script simple et bien explique ou un utilitaire qui me
> permettrait d'avoir un firewall secure c'est a dire ou tout serait ferme
> par defaut, que les tentatives de connection venant de l'exterieurs
> seraient loggees ainsi que les tentatives de sortir du reseaux (facile
> pour repperer les protocols a liberer).
>
> Merci
> Thierry
>
>
> --
> Pensez à lire la FAQ de la liste avant de poser une question :
> http://savannah.nongnu.org/download/debfr-faq/html/
>
> To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmaster@lists.debian.org
>
>

Reply to:

References:
- Passerelle
  - From: Thierry Leurent <thierry.leurent@wanadoo.be>

Prev by Date: Re: Apache ne demarre pas
Next by Date: Re: Alsa et midi
Previous by thread: Re: Passerelle
Next by thread: Re: Passerelle
Index(es):
- Date
- Thread