Iptables, restreindre l'acces internet pour certains postes

Iptables, restreindre l'acces internet pour certains postes - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 13-03-2006 à 17:06:49    

Je possède un reseau qui a à peu pres cette tete : http://rclsilver.free.fr/my_network.jpg
 
Donc en gros, tous les pc qui veulent aller sur le net, passent par le routeur. Sur ce routeur, les regles iptables suivantes sont définies :  

Code :
  1. #!/bin/bash
  3. . /lib/lsb/init-functions
  5. case $1 in
  6. start)
  7.  log_begin_msg "Configuring Iptables..."
  8.  # Initialisation...
  9.  /sbin/iptables -F && \
  10.  /sbin/iptables -X && \
  11.  /sbin/iptables -P INPUT DROP && \
  12.  /sbin/iptables -P OUTPUT DROP && \
  13.  /sbin/iptables -P FORWARD DROP && \
  14.  /sbin/iptables -t nat -F && \
  15.  /sbin/iptables -t nat -X && \
  16.  /sbin/iptables -t nat -P PREROUTING ACCEPT && \
  17.  /sbin/iptables -t nat -P POSTROUTING ACCEPT && \
  18.  /sbin/iptables -t nat -P OUTPUT ACCEPT && \
  19.  /sbin/iptables -t mangle -F && \
  20.  /sbin/iptables -t mangle -X && \
  21.  /sbin/iptables -t mangle -P PREROUTING ACCEPT && \
  22.  /sbin/iptables -t mangle -P INPUT ACCEPT && \
  23.  /sbin/iptables -t mangle -P OUTPUT ACCEPT && \
  24.  /sbin/iptables -t mangle -P FORWARD ACCEPT && \
  25.  /sbin/iptables -t mangle -P POSTROUTING ACCEPT && \
  27.  # On autorise la boucle locale
  28.  /sbin/iptables -A INPUT -i lo -j ACCEPT && \
  29.  /sbin/iptables -A OUTPUT -o lo -j ACCEPT && \
  31.  # On autorise le LAN
  32.  /sbin/iptables -A INPUT -i eth1 -j ACCEPT && \
  33.  /sbin/iptables -A OUTPUT -o eth1 -j ACCEPT && \
  35.  # Définition des regles de sécurité...
  36.  /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j MASQUERADE && \
  37.  /sbin/iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
  38.  /sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
  39.  /sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
  41.  # Définition des regles entre la passerelle et la Freebox
  42.  /sbin/iptables -A INPUT -i eth0 -s 192.168.0.1 -j ACCEPT && \
  43.  /sbin/iptables -A OUTPUT -o eth0 -j ACCEPT && \
  44.  /sbin/iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
  46.  # Ecoute de certains ports
  47.  /sbin/iptables -A INPUT -p tcp --dport 22 -i eth0 -j ACCEPT && \
  48.  /sbin/iptables -A INPUT -p tcp --dport 80 -i eth0 -j ACCEPT && \
  50.  # Routage des ports écoutés
  51.  /sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.3:80 && \
  52.  /sbin/iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.3:22 \
  54.  &> /dev/null
  55.  log_end_msg $?
  56.  ;;
  58. stop)
  59.  log_begin_msg "Flushing Iptables..."
  60.                 /sbin/iptables -F && \
  61.                 /sbin/iptables -X \
  62.  &> /dev/null
  63.  log_end_msg $?
  64.  ;;
  66. restart)
  67.  $0 stop
  68.  $0 start
  69.  ;;
  70. *)
  71.  log_success_msg "Usage: {start|stop|restart}"
  72.  exit 1
  73. esac
  75. exit 0


 
Je voudrais savoir, comment restreindre l'acces a internet pour certains pc sur certains ports ? par exemple... 192.168.1.4 ne pourrait aller que sur les site web (donc sortir sur le port 80) ? ou alors.. 192.168.1.6 ne pourrait pas utiliser ftp (port 21). merci d'avance..
 
PS: Est ce que l'ordre des regles iptables sont importantes ? merci


Message édité par rclsilver le 13-03-2006 à 17:17:14
Reply

Marsh Posté le 13-03-2006 à 17:06:49   

Reply

Marsh Posté le 15-03-2006 à 09:32:40    

Bonjour,
 
Oui l'ordre est très important.
Dans votre cas la chaine qui vous intéresse est la chaine FORWARD.
 
#/sbin/iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
#/sbin/iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && \
#/sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT && \
 
Déja, vous acceptez les nouvelles connexions dans les deux sens. Cela veut dire qu'une connexion entrante venant d'internet sera transmise. Il y a le nat a faire mais votre firewall perd beaucoup d'utilité ici.
 
Avant ces règles vous pouvez choisir de refuser certains flux. Par exemple pour rejeter les tentatives de connexions au port 21 émises par votre machine 1.6 :
#/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 21 -s 192.168.1.6 -j REJECT && \
 
Ensuite vous pouvez changer la règle d'acceptation pour n'autoriser que les machines listées :
/sbin/iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -s 192.168.1.4 -j ACCEPT && \
 
Evidemment il faudra supprimer votre règle qui accepte tout.
 
Vous devriez envisager d'utiliser shorewall pour faire vos règles, c'est plus rapide et fiable.
 
Pierre


---------------
-- Acipia -- www.acipia.fr --
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed