RE: Pont filtrant

To: "debian-user-french@lists.debian.org" <debian-user-french@lists.debian.org>
Subject: RE: Pont filtrant
From: RAOULT sylvain <sylvain.raoult@eedk.fr>
Date: Wed, 12 Mar 2014 08:52:51 +0000
Message-id: <[🔎] d88d0d07a51e40809e09d2b4a7ed7d81@DB4PR01MB175.eurprd01.prod.exchangelabs.com>
In-reply-to: <[🔎] 531F7EA3.2030307@stuxnet.org>
References: <[🔎] 1394546682.50039.YahooMailNeo@web133102.mail.ir2.yahoo.com> <[🔎] 531F7EA3.2030307@stuxnet.org>

Merci à vous tous pour vos réponses et désolé Bzz pour tes yeux :)
As-tu essayé plutôt un apt-get clean   ? :)

>Attention quand même , parce que la (si la règle matche) tu autorise la totalité du réseau 192.168.0.X, et pas seulement le proxy.
Oui je m'en suis aperçu après, j'avais fait une sorte de passoire.

>"ebtables" serait surement plus approprié.
Effectivement , j'ai lu quelques posts à ce sujet, mais me sentant  "+ à l'aise avec iptables", je suis plutôt parti la dessus.

>Le forward est il activé ?
Est-ce vraiment utile d'activer le forward  dans une configuration de pont ?
La passerelle n'est pas le pont mais le routeur derrière

Après plusieurs test, j'ai réussi à faire ce que je voulais, je n'ai pas touché à la conf du bridge qui est bonne, et je me suis inspiré d'un post sur léa-linux pour la conf iptable.

La voici :

----------------------------------------------------------------------------------------------------------------
#!/bin/bash

 iptables -F
 iptables -X

 LANS="192.168.0.0/255.255.255.0"
 PROXY="192.168.0.5"
 WEB="192.168.0.6"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

iptables -N KEEP_STATE
iptables -F KEEP_STATE
iptables -A KEEP_STATE -m state --state INVALID -j DROP
iptables -A KEEP_STATE -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -j KEEP_STATE

#règles persos
iptables -A FORWARD -p tcp -d $WEB --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 143 -j ACCEPT
iptables -A FORWARD -p tcp -s $LANS --dport 443 -j ACCEPT

#
iptables -A FORWARD -s $PROXY -j ACCEPT
iptables -A FORWARD -j DROP

--------------------------------------------------------------------------------------------------------------
Il n'y a donc que le proxy qui puisse sortir 'en tte liberté' et ainsi empêcher la connexion directe. 
J'espère que ces règles tiennent la route.







Re,

Le 11/03/2014 15:04, sylv raou a écrit :
> 
> Au lieu de faire une règle de redirection de port, je préfère bloquer 
> le  port 80 pour le lan, et n'autoriser que le proxy.
> je configure les règles suivantes :
> 
> #! /bin/sh
> iptables -F
> iptables -X
> PROXY="192.168.0.5/255.255.225.0";
> iptables -F FORWARD
> iptables -P FORWARD DROP
> iptables -A FORWARD -s 0.0.0.0/0 -d 0.0.0.0/0 -m state --state INVALID 
> -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j 
> ACCEPT iptables -A FORWARD -p tcp -s $PROXY -d 0.0.0.0/0 -j ACCEPT
> 
> Le proxy ne veut pas sortir ?
> Ai-je commis une erreur quelque part ?
> 

Question con, mais des fois ...

Le forward est il activé ?

*Méthode bourrin* :

echo 1 > /proc/sys/net/ipv4/ip_forward

*Méthode plus douce* :

sysctl net.ipv4.ip_forward=1

*Méthode permanente* :

retirer le # dans le fichier /etc/sysctl.conf

#net.ipv4.ip_forward=1

@+
Christophe.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: [🔎] 531F7EA3.2030307@stuxnet.org">https://lists.debian.org/[🔎] 531F7EA3.2030307@stuxnet.org

Reply to:

References:
- Pont filtrant
  - From: sylv raou <semasylv@yahoo.fr>
- Re: Pont filtrant
  - From: Christophe <tech@stuxnet.org>

Prev by Date: Re: Mise a jour forcée
Next by Date: le matériel supporté ?
Previous by thread: Re: Pont filtrant
Next by thread: installer python sous wine pour inepkey.pyw
Index(es):
- Date
- Thread