Re: Problèmes Tenue Charge Iptables
Le Tue, 20 Mar 2007 11:44:15 +0100,
"Benjamin RIOU" <pandolphe@pandolphe-vision.net> a écrit :
> Bonjour à tous,
>
Bonjour,
> Merci d'avance.
> Ben.
De rien d'avance ;)
Fab.
>
>
> ## Fichier de conf iptables :
> #Script de configuration pour Wifirst (IBM)
> #
>
> echo "Lancement du script de configuration IPTABLES..."
>
> #Activation du routage
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
> #Configuration IPTABLES
> # Vidange des IPTABLES :
> iptables -F
> iptables -t nat -F
> # Par d�faut :
> # Activation du NAT :
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
On pourrait ajouter l'interface de sorti ici:
iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE
> # Activation de la protection anti P2P
> ###echo "Activation du filtrage P2P..."
> ###insmod /root/ipp2p-0.8.2/ipt_ipp2p.o
> ###iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc
> --soul --winmx --ares -j DROP
> ###echo "Filtrage P2P [ SUCCES ]"
>
> #Filtrage des ports
> iptables -N CTRL_PORTS
> iptables -A CTRL_PORTS -p tcp -m multiport --ports
> 21,20,80,53,8000,443 -j ACCEPT
> iptables -A CTRL_PORTS -p udp -m multiport --ports 53 -j ACCEPT
>
Le multiport est inutile sur la ligne juste au dessus.
> #Patching des packets
> #iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
> #iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 -j CONNMARK
> --save-mark
>
> # Toutes les connexions qui sortent du LAN vers le Net
> # sont acceptées
> iptables -A FORWARD -i eth1 -o eth0 -m state --state INVALID -j DROP
>
> # Seules les connexions déjà établies ou en relation avec
> # des connexions établies sont acceptées venant du Net vers le LAN
> iptables -A FORWARD -i eth0 -o eth1 -m state --state
> ESTABLISHED,RELATED -j ACCEPT
>
Le suivi de connexion c'est bien, mais je ne vois aucune règle avec
--state NEW dans tout le fichier.
>
> #Autorisations de certaines adresses mac
> # ** SERVEUR WIFIRST
> iptables -A FORWARD -m mac --mac-source 00:03:52:04:C7:33 -j ACCEPT
>
> # ** LES CHEFS
> # BEN LAPTOP T22
> iptables -A FORWARD -m mac --mac-source 00:0F:EA:1B:4E:73 -j ACCEPT
>
> # ADRIEN LAPTOP TOSHIBA
> iptables -A FORWARD -m mac --mac-source 00:A0:D1:45:A7:D4 -j ACCEPT
>
> # ** CLIENTS
> #
> #simon 05/03
> iptables -A FORWARD -m mac --mac-source 00:12:3F:10:0D:C3 -j
> CTRL_PORTS
>
> #Antoine Forrest 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:13:46:2F:9A:C4 -j
> CTRL_PORTS
>
> #Emmanuel GENDRON 05/03
> #iptables -A FORWARD -m mac --mac-source 00:0D:61:52:9A:89 -j
> CTRL_PORTS
>
> #Benjamin BRIENDO 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:36:6C:D8:27 -j
> CTRL_PORTS
>
> #J�remy GACHET 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:D3:40:43:28 -j
> CTRL_PORTS
>
> #Katoche 05/03
> iptables -A FORWARD -m mac --mac-source 00:0A:E4:A0:1F:CF -j
> CTRL_PORTS
>
> #Phillipine 05/03 -
> iptables -A FORWARD -m mac --mac-source 00:C0:9F:70:11:7A -j
> CTRL_PORTS
>
> #Guillaume COUSIN 06/03 -
> iptables -A FORWARD -m mac --mac-source 00:16:D4:5F:31:D4 -j
> CTRL_PORTS
>
> #Pierre EMERIAUD (non resident à la cité)
> iptables -A FORWARD -m mac --mac-source 00:0D:87:F6:55:98 -j ACCEPT
>
> #Norma VASQUEZ
> iptables -A FORWARD -m mac --mac-source 00:40:D0:69:75:67 -j
> CTRL_PORTS
>
> #Stagiaire Traduction Cedric C315
> #iptables -A FORWARD -m mac --mac-source 00:0f:b0:b8:df:da -j ACCEPT
>
> #Jean Christophe MENARD 18/03 > 1/04
> iptables -A FORWARD -m mac --mac-source 00:90:F5:44:AD:BF -j
> CTRL_PORTS iptables -A FORWARD -j DROP
>
Bon les goût et les couleurs ça ce discute pas, mais c'est pas très
académique toutes ces règles sur les adresses MAC
> echo "[Configuration IPTABLES SUCCES]"
Reply to: