Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 15/02/2008, à 15:20

viincent62

probleme iptables

Bonjour,

j'ai un soucis sur un serveur qui sert de passerelle
lorsque je liste les règles iptables je les ai bien à  l'affichage en revanche elles ne sont pas appliquées!!


Le renvoie du port 80 sur le 3128 ne fonctionne pas et le ssh n'est pas bloquer pour des adresse différente de x.x.x.x
voici le script du firewall

merci à  tous pour votre aide, parceque la je nage un peu
(script copié sur la méthode de création d'une passerelle de la partie documentation)

#!/bin/sh
# description: Firewall
# eth0 interface en local
# eth1 interface modem
IPT=/sbin/iptables
case "$1" in
start)

# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
#/sbin/ifconfig eth1 up


modprobe ip_tables
modprobe iptable_mangle
modprobe iptable_nat
modprobe iptable_filter

# Dans cette partie, on met en place le firewall
#vidage des chaines
$IPT -F
#destruction des chaines personnelles
$IPT -X


#stratégies par défaut
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT


#init des tables NAT et MANGLE (pas forcément nécessaire)
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -P PREROUTING ACCEPT
$IPT -t nat -P POSTROUTING ACCEPT
$IPT -t nat -P OUTPUT ACCEPT
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -t mangle -P PREROUTING ACCEPT
$IPT -t mangle -P OUTPUT ACCEPT

# Acceptation de toutes les connexions en local (un process avec l'autre)
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT


$IPT -N MAregle


#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)

$IPT -A MAregle -m state --state NEW -i! eth1 -j ACCEPT
$IPT -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT

#application de la règle au partage de connexion
$IPT -A INPUT -j MAregle
$IPT -A FORWARD -j MAregle


# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local

echo 1 > /proc/sys/net/ipv4/ip_forward

$IPT -t nat -A POSTROUTING  -s 128.1.0.0/16 -o eth1 -j SNAT --to-source "ip_fixe"
$IPT -t nat -p tcp -A PREROUTING -j DNAT --destination-port 80 --to-destination 127.0.0.1:3128


#desactivation emule
$IPT -A INPUT -p TCP --destination-port 4661:4665 -j REJECT
$IPT -A INPUT -p TCP --source-port 4661:4665 -j REJECT
$IPT -A OUTPUT -p TCP --destination-port 4661:4665 -j REJECT
$IPT -A OUTPUT -p TCP --source-port 4661:4665 -j REJECT




# mail
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 995 --source ! 128.1.0.0/16 -j DROP
$IPT -A INPUT -p udp --dport 995 --source ! 128.1.0.0/16 -j DROP



#ssh

$IPT -A INPUT -p tcp --dport 22 --source ! x.x.x.x -j DROP


# Interdire 'Source Routing'
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

# Surveiller 'martians' (adresse source falsifée ou non routable)
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

# Se protéger de l'IP Spoofing bis
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Se protéger des attaques 'SYN Flood'
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# squid
$IPT -A INPUT -p tcp --dport 3128 --source ! 128.1.0.0/16 -j DROP
$IPT -A INPUT -p tcp --dport 80 --source ! 128.1.0.0/16 -j DROP



exit 0

;;
stop)
$IPT -F
echo 0 > /proc/sys/net/ipv4/ip_forward
#/sbin/ifconfig eth1 down
#ifdown dsl-provider
exit 0
;;
restart)
/etc/init.d/firewall stop
/etc/init.d/firewall start
exit 0
;;
*)
echo "Usage: /etc/init.d/firewall {start|stop|restart}"
exit 1
;;
esac

Hors ligne

#2 Le 15/02/2008, à 15:23

iuchiban

Re : probleme iptables

As tu redémarré le service iptables (ou du moins demandé de recharger la config)??

ca doit etre quelque chose du genre

sudo /etc/init.d/iptables restart

Dernière modification par iuchiban (Le 15/02/2008, à 15:23)

C'est depuis que Chuck Norris a laissé la vie sauve à un manchot que l'on dit que Linux est libre.

Chuck Norris n'a pas besoin d'éditer son premier message pour ajouter [Résolu]. Chuck Norris est toujours [Résolu], quoi qu'il arrive.

Hors ligne

#3 Le 15/02/2008, à 15:40

viincent62

Re : probleme iptables

j'y avais pensé aussi mais il tourne visiblement puisque si je fais un

iptables -L

il me liste les règles

iptables est charger à partir du noyau si je ne me trompe
il n'y a pas de service dans le init.d
je viens de vérifier sur un autre serveur qui lui à une seule interface et dont les règles fonctionnent

Hors ligne

#4 Le 15/02/2008, à 17:28

Beamo

Re : probleme iptables

Bonjour,

Je ne sais pas t'aider mais je confirme que iptables est un module du noyau et non un service. Il n'y a donc pas de "restart" à faire pour que la configuration soit prise en compte

Beamo

Hors ligne

#5 Le 16/02/2008, à 13:10

viincent62

Re : probleme iptables

Résolut en fait il faut remplacer l'interface eth1 par ppp0

de plus iptables préfère que l'on précise une interface lors que l'affectation de règle.

Merci à  tous!

Hors ligne

Pages : 1