Pages : 1
#1 Le 15/02/2008, à 15:20
- viincent62
probleme iptables
Bonjour,
j'ai un soucis sur un serveur qui sert de passerelle
lorsque je liste les règles iptables je les ai bien à l'affichage en revanche elles ne sont pas appliquées!!
Le renvoie du port 80 sur le 3128 ne fonctionne pas et le ssh n'est pas bloquer pour des adresse différente de x.x.x.x
voici le script du firewall
merci à tous pour votre aide, parceque la je nage un peu
(script copié sur la méthode de création d'une passerelle de la partie documentation)
#!/bin/sh
# description: Firewall
# eth0 interface en local
# eth1 interface modem
IPT=/sbin/iptables
case "$1" in
start)
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
#/sbin/ifconfig eth1 up
modprobe ip_tables
modprobe iptable_mangle
modprobe iptable_nat
modprobe iptable_filter
# Dans cette partie, on met en place le firewall
#vidage des chaines
$IPT -F
#destruction des chaines personnelles
$IPT -X
#stratégies par défaut
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#init des tables NAT et MANGLE (pas forcément nécessaire)
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT
# Acceptation de toutes les connexions en local (un process avec l'autre)
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)
$IPT -A MAregle -m state --state NEW -i! eth1 -j ACCEPT
$IPT -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT
#application de la règle au partage de connexion
$IPT -A INPUT -j MAregle
$IPT -A FORWARD -j MAregle
# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local
echo 1 > /proc/sys/net/ipv4/ip_forward
$IPT -t nat -A POSTROUTING -s 128.1.0.0/16 -o eth1 -j SNAT --to-source "ip_fixe"
$IPT -t nat -p tcp -A PREROUTING -j DNAT --destination-port 80 --to-destination 127.0.0.1:3128
#desactivation emule
$IPT -A INPUT -p TCP --destination-port 4661:4665 -j REJECT
$IPT -A INPUT -p TCP --source-port 4661:4665 -j REJECT
$IPT -A OUTPUT -p TCP --destination-port 4661:4665 -j REJECT
$IPT -A OUTPUT -p TCP --source-port 4661:4665 -j REJECT
# mail
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 995 --source ! 128.1.0.0/16 -j DROP
$IPT -A INPUT -p udp --dport 995 --source ! 128.1.0.0/16 -j DROP
#ssh
$IPT -A INPUT -p tcp --dport 22 --source ! x.x.x.x -j DROP
# Interdire 'Source Routing'
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Surveiller 'martians' (adresse source falsifée ou non routable)
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Se protéger de l'IP Spoofing bis
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Se protéger des attaques 'SYN Flood'
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
# squid
$IPT -A INPUT -p tcp --dport 3128 --source ! 128.1.0.0/16 -j DROP
$IPT -A INPUT -p tcp --dport 80 --source ! 128.1.0.0/16 -j DROP
exit 0
;;
stop)
$IPT -F
echo 0 > /proc/sys/net/ipv4/ip_forward
#/sbin/ifconfig eth1 down
#ifdown dsl-provider
exit 0
;;
restart)
/etc/init.d/firewall stop
/etc/init.d/firewall start
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart}"
exit 1
;;
esac
Hors ligne
#2 Le 15/02/2008, à 15:23
- iuchiban
Re : probleme iptables
As tu redémarré le service iptables (ou du moins demandé de recharger la config)??
ca doit etre quelque chose du genre
sudo /etc/init.d/iptables restart
Dernière modification par iuchiban (Le 15/02/2008, à 15:23)
C'est depuis que Chuck Norris a laissé la vie sauve à un manchot que l'on dit que Linux est libre.
Chuck Norris n'a pas besoin d'éditer son premier message pour ajouter [Résolu]. Chuck Norris est toujours [Résolu], quoi qu'il arrive.
Hors ligne
#3 Le 15/02/2008, à 15:40
- viincent62
Re : probleme iptables
j'y avais pensé aussi mais il tourne visiblement puisque si je fais un
iptables -L
il me liste les règles
iptables est charger à partir du noyau si je ne me trompe
il n'y a pas de service dans le init.d
je viens de vérifier sur un autre serveur qui lui à une seule interface et dont les règles fonctionnent
Hors ligne
#4 Le 15/02/2008, à 17:28
- Beamo
Re : probleme iptables
Bonjour,
Je ne sais pas t'aider mais je confirme que iptables est un module du noyau et non un service. Il n'y a donc pas de "restart" à faire pour que la configuration soit prise en compte
Beamo
Hors ligne
#5 Le 16/02/2008, à 13:10
- viincent62
Re : probleme iptables
Résolut en fait il faut remplacer l'interface eth1 par ppp0
de plus iptables préfère que l'on précise une interface lors que l'affectation de règle.
Merci à tous!
Hors ligne
Pages : 1