Re: Pont filtrant
Bonsoir,
Le 11/03/2014 15:35, RAOULT sylvain a écrit :
> Je viens de m'apercevoir d'une erreur dans ma variable en la recopiant , l'erreur ne figure pas dans le vrai script
> PROXY="192.168.0.5/255.255.255.0"; au lieu de PROXY="192.168.0.5/255.255.225.0";
>
Attention quand même , parce que la (si la règle matche) tu autorise la
totalité du réseau 192.168.0.X, et pas seulement le proxy.
PROXY="192.168.0.5/255.255.255.255";
ou
PROXY="192.168.0.5/32";
ou (encore plus simple)
PROXY="192.168.0.5"
Me paraissent plus adaptés.
>
> Au lieu de faire une règle de redirection de port, je préfère bloquer le port 80 pour le lan, et n'autoriser que le proxy.
> je configure les règles suivantes :
>
> #! /bin/sh
> iptables -F
> iptables -X
> PROXY="192.168.0.5/255.255.225.0";
> iptables -F FORWARD
> iptables -P FORWARD DROP
> iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID -j DROP
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
> Le proxy ne veut pas sortir ?
> Ai-je commis une erreur quelque part ?
Je te conseille un (de mémoire) :
iptables -A FORWARD -j LOG --log-prefix "Forward DROP:"
En toute dernière règle de la chaine FORWARD, pour voir si effectivement
tes paquets se font jeter (à regarder dans le syslog). Et donc voir s'il
s'agit d'un problème de firewalling ou de routage/bridging.
Mais au final, je pense que le problème est tout autre : je ne suis pas
sur qu'iptables soit le bon outil dans le cas présent (s'agissant d'un
bridge, il me semble que ca ne passe pas dans la chaine FORWARD).
"ebtables" serait surement plus approprié.
@+
Christophe.
Reply to: