Re: critique sur script

To: debian-user-french@lists.debian.org
Subject: Re: critique sur script
From: Hervé Hounzandji <herve.hounzandji@ac-nancy-metz.fr>
Date: Wed, 08 Mar 2006 16:20:24 +0100
Message-id: <[🔎] 440EF638.1070005@ac-nancy-metz.fr>
In-reply-to: <[🔎] 20060308144533.67867.qmail@web26315.mail.ukl.yahoo.com>
References: <[🔎] 20060308144533.67867.qmail@web26315.mail.ukl.yahoo.com>

Christophe Delcenserie a écrit :

Bonjour,
J'aimerais que de l'exterieur on puisse acceder a mon serveur web, etque les machines dans mon lan puissent aller sur le net.Je souhaite la sortie que de quelques ports et que de l'exterieur, onn'accepte pas a mon lan.Merci de vos commentaire.


Dis nous stp si ton script génère des erreurs et si oui quelles erreurs ?

sinon Franchement, je pense que c'est pas facile de se retrouver danston script (il faut prendre du temps et chacun de nous a un boulot). .Je te propose d'aller sur le lienhttp://ceyquem.free.fr/www/articles/passerelle_freebox/passerelle_freebox.htm

Et tu verras que tout se passera très bien.

Christophe###############################################################################
# REMISE à ZERO des règles de filtrage
###############################################################################
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
###############################################################################
# Logs
###############################################################################
# LOG de tout paquet DROPpé que l'on veut logué
iptables -N log_input_wan_drop
iptables -A log_input_wan_drop -j LOG --log-prefix '[IpTables INPUTWAN DROP]'
iptables -A log_input_wan_drop -j DROP
iptables -N log_output_wan_drop
iptables -A log_output_wan_drop -j LOG --log-prefix '[IpTables OUTPUTWAN DROP]'
iptables -A log_output_wan_drop -j DROP
iptables -N log_input_lan_drop
iptables -A log_input_lan_drop -j LOG --log-prefix '[IpTables INPUTLAN DROP]'
iptables -A log_input_lan_drop -j DROP
iptables -N log_output_lan_drop
iptables -A log_output_lan_drop -j LOG --log-prefix '[IpTables OUTPUTLAN DROP]'
iptables -A log_output_lan_drop -j DROP
# LOG de tout paquet ACEPTé que l'on veut logué
iptables -N log_input_wan_accept
iptables -A log_input_wan_accept -j LOG --log-prefix '[IpTables INPUTWAN ACCEPT]'
iptables -A log_input_wan_accept -j ACCEPT
iptables -N log_output_wan_accept
iptables -A log_output_wan_accept -j LOG --log-prefix '[IpTablesOUTPUT WAN ACCEPT]'
iptables -A log_output_wan_accept -j ACCEPT
iptables -N log_input_lan_accept
iptables -A log_input_lan_accept -j LOG --log-prefix '[IpTables INPUTLAN ACCEPT]'
iptables -A log_input_lan_accept -j ACCEPT
iptables -N log_output_lan_accept
iptables -A log_output_lan_accept -j LOG --log-prefix '[IpTablesOUTPUT LAN ACCEPT]'
iptables -A log_output_lan_accept -j ACCEPT
###############################################################################
# DEBUT des politiques par défaut
###############################################################################
# Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
# Je veux que les connexions destinées à être forwardées soientacceptées par défaut
iptables -P FORWARD ACCEPT
# Je veux que les connexions sortantes soient bloquées par défaut
iptables -P OUTPUT DROP
###############################################################################
# FIN des politiques par défaut
###############################################################################
#     INPUT
###############################################################################
# ppp0
###############################################################################
# Detruit les connexions sur ppp0 <- Internet qui aurait pour adr_ipcelles d'une classe privée !
# Une variante de 'no-spoofing' !
iptables -A INPUT -i ppp+ -s 127.0.0.0/8 -j log_input_wan_drop # adrde Loopbackiptables -A INPUT -i ppp+ -s 10.0.0.0/8 -j log_input_wan_drop # adrClass A privéeiptables -A INPUT -i ppp+ -s 169.254.0.0/16 -j log_input_wan_drop #adr Link Local Networkiptables -A INPUT -i ppp+ -s 172.16.0.0/12 -j log_input_wan_drop #adr Class B privéeiptables -A INPUT -i ppp+ -s 192.0.2.0/24 -j log_input_wan_drop # adrTEST-NETiptables -A INPUT -i ppp+ -s 192.168.0.0/24 -j log_input_wan_drop #adr Class C Privéeiptables -A INPUT -i ppp+ -s 224.0.0.1/4 -j log_input_wan_drop # adrClass D MultiCastiptables -A INPUT -i ppp+ -s 240.0.0.0/4 -j log_input_wan_drop # adrClass E Réservée
# lo
###############################################################################
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
# eth0
###############################################################################
# J'autorise les connexions TCP entrantes sur le port 22 uniquementsur l'interface "eth0"
# (pour que mon serveur Ssh soit joignable depuis mon LAN seulement)
iptables -A INPUT -p tcp -i eth0 --dport ssh -j log_input_lan_accept
# general
###############################################################################
# J'accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -i eth0 -jlog_input_lan_acceptiptables -A INPUT -m state --state RELATED,ESTABLISHED -i ppp+ -jlog_input_wan_accept
# pour le reste on supprime
iptables -A INPUT -i eth0 -j log_input_lan_drop
iptables -A INPUT -i ppp+ -j log_input_wan_drop
###############################################################################
#     OUTPUT
###############################################################################
# lo
###############################################################################
# Pas de filtrage sur l'interface de "loopback"
iptables -A OUTPUT -o lo -j ACCEPT
# ppp0
###############################################################################
# J'accepte les packets sortants pour internet :
iptables -A OUTPUT -o ppp+ -p tcp --dport 20 -m state --state !INVALID -j log_output_wan_accept # ftp dataiptables -A OUTPUT -o ppp+ -p tcp --dport 21 -m state --state !INVALID -j log_output_wan_accept # ftpiptables -A OUTPUT -o ppp+ -p tcp --dport 25 -m state --state !INVALID -j log_output_wan_accept # smtpiptables -A OUTPUT -o ppp+ -p tcp --dport 53 -m state --state !INVALID -j log_output_wan_accept # DNSiptables -A OUTPUT -o ppp+ -p tcp --dport 80 -m state --state !INVALID -j log_output_wan_accept # httpiptables -A OUTPUT -o ppp+ -p tcp --dport 110 -m state --state !INVALID -j log_output_wan_accept # pop3iptables -A OUTPUT -o ppp+ -p tcp --dport 443 -m state --state !INVALID -j log_output_wan_accept # httpsiptables -A OUTPUT -o ppp+ -p tcp --dport 1863 -m state --state !INVALID -j log_output_wan_accept # msniptables -A OUTPUT -o ppp+ -p tcp --dport 6667 -m state --state !INVALID -j log_output_wan_accept # irc
# J'accepte les packets sortants relatifs à des connexions déjà établies
# iptables -A OUTPUT -o ppp+ -m state --state RELATED,ESTABLISHED -jlog_output_wan_accept
# eth0
###############################################################################
# J'autorise les connexions TCP sortantes sur le port 22 uniquementsur l'interface "eth0"
# (pour que mon serveur Ssh soit joignable depuis mon LAN seulement)
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state !INVALID -j log_output_lan_accept # ssh
# general
###############################################################################
# pour le reste on supprime
iptables -A OUTPUT -o eth0 -j log_output_lan_drop
iptables -A OUTPUT -o ppp+ -j log_output_wan_drop
###############################################################################
# DEBUT des règles pour le PARTAGE DE CONNEXION
###############################################################################
# Je veux que mon système fasse office de "serveur NAT"
iptables -t nat -A POSTROUTING -o ppp+ -j MASQUERADE
# Si la connexion que vous partagez est une connexion ADSL, vous
# serez probablement confronté au fameux problème du MTU. En résumé,
# le problème vient du fait que le MTU de la liaison entre votre
# fournisseur d'accès et le serveur NAT est un petit peu inférieur au
# MTU de la liaison Ethernet qui relie le serveur NAT aux machines qui
# sont derrière le NAT. Pour résoudre ce problème, décommentez la ligne
# suivante et remplaçez "eth0" par le nom de l'interface connectée à
# Internet.
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o ppp+--clamp-mss-to-pmtu
###############################################################################
# FIN des règles pour le PARTAGE DE CONNEXION
###############################################################################
# ACCES exterieur au serveur LAN
###############################################################################
# Je veux que les requêtes TCP reçues sur le port 80 soient forwardées
# à la machine dont l'IP est 192.168.0.3 sur son port 80
# (la réponse à la requête sera forwardée au client)
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT--to-destination 192.168.0.3:80
###############################################################################

------------------------------------------------------------------------
Nouveau : téléphonez moins cher avec Yahoo! Messenger ! Découvez lestarifs exceptionnels pour appeler la France et l'international.Téléchargez<http://us.rd.yahoo.com/messenger/mail_taglines/default/*http://fr.beta.messenger.yahoo.com>la version beta.




--
Hervé Hounzandji
Dsi-Dae - Rectorat Nancy-Metz
tél : 03 83 86 27 66
www.ac-nancy-metz.fr
----------------------------------------------
"Prenez soin de Vous. Chaque jour est une Vie"

Reply to:

References:
- critique sur script
  - From: Christophe Delcenserie <delcenseriechristophe@yahoo.fr>

Prev by Date: critique sur script
Next by Date: Re: dvdrip : fichier avi créé partiellement
Previous by thread: critique sur script
Next by thread: Re: critique sur script iptables
Index(es):
- Date
- Thread