configuration firewall pour permettre la connection sur un serveur web depuis Internet
Bonjour,
Je dispose d'un réseau de 4 machines.
Une machine supporte la connection directe avec internet et la partage.
Jusqu'ici pas de problème, le partage de connection fonctionne correctement.
Cette machine héberge un serveur Web je veux pouvoir rendre accessible de
l'extérieur. J'ai récupéré un script sur Léa-linux, je l'ai modifié pour
l'adapter à ma config et ça ne marche pas.
Quelqu'un peut-il m'aider?
Ma configuration réseau:
- machine connectée à Internet et surlaquelle je veux rendre le serveur Web
accessible depuis Internet: 192.168.1.10 et son adresse Internet:
81.250.167.71
- 3 machines: 192.168.1.11 192.168.1.12 192.168.1.13
le script que j'ai essayé, et qui ne fonctionne pas:
Je vous remercie d'avance pour les conseils.
Hervé
#!/bin/sh
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
echo 1 > /proc/sys/net/ipv4/ip_forward
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe iptable_filter
modprobe iptable_nat
iptables -F
iptables -X
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -o ppp0 -m state --state NEW,ESTABLISHED -p tcp --dport 80
-j ACCEPT
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED -p tcp --sport 80 -j
ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT
--to-destination 192.168.1.10:80
iptables -t nat -A PREROUTING -d 81.250.167.71 -p tcp --dport 80 -j DNAT
--to-destination 192.168.1.10:80
iptables -A INPUT -i eth0 -s 192.168.1.10 -m state --state NEW,ESTABLISHED -p
tcp --dport 22 -j LOG_ACCEPT
iptables -A OUTPUT -o eth0 -d 192.168.1.10 -m state --state ESTABLISHED -p tcp
--sport 22 -j LOG_ACCEPT
iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
iptables -A FORWARD -o eth0 -i ppp0 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp --dport 80 -state --state NEW,ESTABLISHED
-j ACCEPT
iptables -A FORWARD -o eth0 -p tcp --sport 80 -state --state ESTABLISHED -j
ACCEPT
iptables -A FORWARD -i ppp0 -o eth0 -p tcp --destination-port 80 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o ppp0 -i eth0 -p tcp --source-port 80 -m state --state
ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
--
Etudier sans réfléchir est vain; méditer sans étudier est périlleux
Confucius - Livre II
http://www.brunel-ejm.com
Reply to: