On Mon, Mar 19, 2007 at 03:43:36PM +0100, fred wrote: > fred <fredantispam@free.fr> a écrit : > > > ### redirection vers l'extérieur > > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j SNAT --to ${ADDR_GATEWAY_NET} > > ${IPT} -A POSTROUTING -t nat -o ${IF_NET} -j MASQUERADE Les deux regles sont similaires. Mais, on preferera utiliser la cible SNAT lorsque l'adresse ip de la machine est fixe car cela consomme moins de ressources. > > > > ### règles pour le LAN > > ## on accepte les connexions en tant que serveur > > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper > > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 111 -j ACCEPT # rpcbind/portmapper > > ${IPT} -A INPUT -p TCP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs > > ${IPT} -A INPUT -p UDP -i ${IF_LAN} -s ${LAN} -d ${ADDR_GATEWAY_LAN} --dport 2049 -j ACCEPT # nfs > En plus de ce que Remi t'a donner comme informations pour fixer les ports pour le NFS, j'ajouterais ces ports dans le fichier /etc/services pour pouvoir plus facilement regarder mes regles quand je fais un iptables -L -v : ->> # Local services rpc.statd-bc 32765/tcp # RPC statd broadcast rpc.statd-bc 32765/udp # RPC statd broadcast rpc.statd 32766/tcp # RPC statd listen rpc.statd 32766/udp # RPC statd listen rpc.mountd 32767/tcp # RPC mountd rpc.mountd 32767/udp # RPC mountd rpc.lockd 32768/tcp # RPC lockd/nlockmgr rpc.lockd 32768/udp # RPC lockd/nlockmgr rpc.quotad 32769/tcp # RPC quotad rpc.quotad 32769/udp # RPC quotad <<- > Je loggue dans ce qui est accepté et réfusé dans les règles ci-dessus. > > Par exemple, si je fais un telnet sur le port 25, celui est normalement refusé. > > Or rien dans les logs (syslog ou dmesg ou messages) ne m'indique que > cette connexion a été refusée (non plus si une connexion a été accepté). Hormis le fait que, comme serge la mentionne, aucun traffic n'est redirigé vers les chaines LOG_ACCEPT et LOG_DROP, je te conseillerais de ne pas tout logguer si tu ne veux pas en avoir des tonnes en cas d'attaque 8p! Tu peux utiliser un IDS pour détecter les intrusions. -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE
Attachment:
signature.asc
Description: Digital signature