Filtrage d'acces à Internet

Filtrage d'acces à Internet - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 03-04-2007 à 18:03:08    

Bonjours les gens, je suis en train de préparer ma paserelle qui servira a fournir internet pendant une lan party, comme j'ai pas fait d'iptables depuis un bail, je vous poste mon script pour avoir vos avis :)
 
Je précise que mes clients sont sur eth0 et que je chope le net sur eth1
 

Code :
  1. iptables -F
  2. iptables -X
  4. iptables -P INPUT DROP
  5. iptables -P OUTPUT DROP
  6. iptables -P FORWARD DROP
  8. iptables -t nat -F
  9. iptables -t nat -X
  11. iptables -t nat -P PREROUTING ACCEPT
  12. iptables -t nat -P POSTROUTING ACCEPT
  13. iptables -t nat -P OUTPUT ACCEPT
  15. iptables -t mangle -F
  16. iptables -t mangle -X
  18. iptables -t mangle -P PREROUTING ACCEPT
  19. iptables -t mangle -P INPUT ACCEPT
  20. iptables -t mangle -P OUTPUT ACCEPT
  21. iptables -t mangle -P FORWARD ACCEPT
  22. iptables -t mangle -P POSTROUTING ACCEPT
  24. iptables -A INPUT -i lo -j ACCEPT
  25. iptables -A OUTPUT -o lo -j ACCEPT
  27. iptables -A INPUT -i eth0 -j ACCEPT
  28. iptables -A OUTPUT -o eth0 -j ACCEPT
  30. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  32. # toutes les connexions qui sortent du LAN vers le net sont refusée
  33. iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j DROP
  35. # serveur et admins
  36. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.10.0/255.255.255.0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  37. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.50.3/255.255.255.0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  39. # joueurs : http/https/ftp
  40. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 20 -j ACCEPT
  41. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 21 -j ACCEPT
  42. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 443 -j ACCEPT
  43. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
  45. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 20 -j ACCEPT
  46. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 21 -j ACCEPT
  47. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 443 -j ACCEPT
  48. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/255.255.255.0 -p tcp --dport 80 -j ACCEPT
  50. # connec etablies
  51. iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  53. # requetes DNS locales
  54. iptables -A OUTPUT -o eth1 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
  55. iptables -A INPUT -i eth1 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
  57. # remontée des erreur icmp
  58. iptables -A INPUT -p icmp  -m state --state RELATED -j ACCEPT
  60. # pour prob de mtu
  61. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu


Message édité par y-master le 03-04-2007 à 18:21:37
Reply

Marsh Posté le 03-04-2007 à 18:03:08   

Reply

Marsh Posté le 05-04-2007 à 13:34:43    

mon topic n'a pas bcp de succes...
 
pour la peine je poste la nouvelle version, refaite proprement
 

Code :
  1. iptables -F
  2. iptables -X
  4. iptables -P INPUT DROP
  5. iptables -P OUTPUT ACCEPT
  6. iptables -P FORWARD DROP
  8. iptables -t nat -F
  9. iptables -t nat -X
  11. iptables -A INPUT -i lo -j ACCEPT
  13. iptables -A INPUT -i eth0 -j ACCEPT
  15. iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
  17. # serveur et admins
  18. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.10.0/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  19. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.50.3/24 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  21. # joueurs : http/https/ftp
  22. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 20 -j ACCEPT
  23. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 21 -j ACCEPT
  24. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 443 -j ACCEPT
  25. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.1.0/24 -p tcp --dport 80 -j ACCEPT
  27. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 20 -j ACCEPT
  28. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 21 -j ACCEPT
  29. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 443 -j ACCEPT
  30. iptables -A FORWARD -i eth0 -o eth1 -s 10.0.2.0/24 -p tcp --dport 80 -j ACCEPT
  32. # connec etablies
  33. iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  35. # remontée des erreur icmp
  36. iptables -A INPUT -p icmp  -m state --state RELATED -j ACCEPT
  38. # pour prob de mtu
  39. iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS -o eth1 --clamp-mss-to-pmtu
  41. #mon serveur ftp est sur la 2eme interface en gigabit
  42. iptables -A INPUT -i eth2 -p tcp --dport 20 -j ACCEPT
  43. iptables -A INPUT -i eth2 -p tcp --dport 21 -j ACCEPT


 
edit : netmask corriged


Message édité par y-master le 05-04-2007 à 13:48:44

---------------
Don't forget the GNU Power :)   /   LanParty sur Toulouse   /   Mon Feed-Back (2006 style)
Reply

Marsh Posté le 05-04-2007 à 13:45:57    

ben si tu veux, il existe pas mal de topic sur ce sujet donc bon...
sinon 10.0.1.0/32 => ca ne matchera jamais. Je doute que tu aies un équipements avec exactement l'adresse 10.0.1.0

Reply

Marsh Posté le 05-04-2007 à 13:47:22    

oups, j'ai changé sa en speed et j'ai mis /32 a la place de /24
"le manque de sommeil, saï mâl"


---------------
Don't forget the GNU Power :)   /   LanParty sur Toulouse   /   Mon Feed-Back (2006 style)
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed