FORUM Syndrome-OC - Jacky-PC


  Software et OS Alternatif


  OS alternatifs


  Problèmes règles iptables

 
 




2 utilisateurs anonymes et 12 utilisateurs inconnus

S'identifier | S'inscrire | Aide
 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problèmes règles iptables

n°41301
C4H8O3
Posté le 30-09-2006 à 22:26:30  profilanswer
 

Déja voilà mon réseau
 
http://c4h8o3.free.fr/HomeLan.PNG
 
 
en analysant ce qui se passé sur le reseau 2 (192.168.1.0/24), et y a du p2p dans l'air :'(
j'aimerais donc interdire ça
 
j'ai cherché un peu partout, j'ai trouvé bcp de docs, mais j'y comprends rien
alors si qqu'un voudrait bien m'expliquer ça en bon FR ^^
 
et par l'occassion m'expliquer un peu les règles ci-dessous
 
thxxx
j'ai trouvé ses règles là pour autoriser les connexions externe vers le web,dns,mail, etc
mais je voudrais savoir comment interdire
 

Code :
  1. iptables -A OUTPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
  2. iptables -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
  3. iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
  4. iptables -A OUTPUT -m state --state NEW -p tcp --dport 1863 -j ACCEPT
  5. iptables -A OUTPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
  6. iptables -A OUTPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
  7. iptables -A OUTPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT


 
 
 
Voilà les règles que j'ai utilisé pour pouvoir avoir le net sur le second réseau

Code :
  1. iptables -F
  2. iptables -t nat -F
  5. iptables -P INPUT ACCEPT
  6. iptables -P OUTPUT ACCEPT
  7. iptables -P FORWARD DROP
  9. export LAN=eth1
  10. export WAN=eth0
  13. iptables -I INPUT 1 -i eth1 -j ACCEPT
  14. iptables -I INPUT 1 -i lo -j ACCEPT
  15. iptables -A INPUT -p UDP --dport bootps -i ! eth1 -j REJECT
  16. iptables -A INPUT -p UDP --dport domain -i ! eth1 -j REJECT
  19. iptables -A INPUT -p TCP --dport ssh -i eth0 -j ACCEPT
  21. iptables -A INPUT -p TCP --dport 80 -i eth0 -j ACCEPT
  22. iptables -A INPUT -p UDP --dport 80 -i eth0 -j ACCEPT
  24. ### Connexion vers le serveur local
  25. ###
  26. iptables -A INPUT -p TCP --dport 20 -i eth0 -j ACCEPT
  27. iptables -A INPUT -p UDP --dport 20 -i eth0 -j ACCEPT
  28. iptables -A INPUT -p TCP --dport 21 -i eth0 -j ACCEPT
  29. iptables -A INPUT -p UDP --dport 21 -i eth0 -j ACCEPT
  30. iptables -A INPUT -p TCP --dport 4567 -i eth0 -j ACCEPT
  31. iptables -A INPUT -p TCP --dport 139 -i eth0 -j ACCEPT
  32. iptables -A INPUT -p TCP --dport 445 -i eth0 -j ACCEPT
  34. iptables -A INPUT -p TCP -i ! eth1 -d 0/0 --dport 0:1023 -j DROP
  35. iptables -A INPUT -p UDP -i ! eth1 -d 0/0 --dport 0:1023 -j DROP
  38. iptables -I FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j DROP
  39. iptables -A FORWARD -i eth1 -s 192.168.0.0/255.255.0.0 -j ACCEPT
  40. iptables -A FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
  41. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


 
 


---------------
Aqua Paris
mood
Google
Posté le 30-09-2006 à 22:26:30  profilanswer
 

n°41306
Trracer
Posté le 01-10-2006 à 11:42:38  profilanswer
 

Si tu veux interdire, c'est la meme syntaxe sauf qu'il faut indiquer DROP au lieu de ACCEPT.
Pour le moment ton reseau 2 fonctionne en ACCEPT par defaut (iptables -P OUTPUT ACCEPT). Tu peux le mettre en DROP par defaut et ouvrir uniquement les ports dont tu as besoin...

n°41307
C4H8O3
Posté le 01-10-2006 à 14:30:14  profilanswer
 

donc je mets DROP au lieu d'ACCEPT
à cette ligne là

Code :
  1. iptables -P OUTPUT ACCEPT


 
il faut que j'autorise avant de faire le DROP ?
 

Code :
  1. iptables -A OUTPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
  2. iptables -A OUTPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
  3. iptables -A OUTPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
  4. iptables -A OUTPUT -m state --state NEW -p tcp --dport 1863 -j ACCEPT
  5. iptables -A OUTPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
  6. iptables -A OUTPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
  7. iptables -A OUTPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT


thx


Message édité par C4H8O3 le 01-10-2006 à 14:32:12
n°41313
ZEPsikopat
May the Dremel ™ be in You !
Posté le 02-10-2006 à 07:25:35  profilanswer
 

Non, tu fais d'abord ton drop, et ensuite tu autorises tes ports


---------------
Polom pom pom
n°41359
C4H8O3
Posté le 09-10-2006 à 11:57:30  profilanswer
 

c'est tout bon
merci merci \o/


---------------
Aqua Paris
mood
Google
Posté le 09-10-2006 à 11:57:30  profilanswer
 


Aller à :
Ajouter une réponse

  FORUM Syndrome-OC - Jacky-PC


  Software et OS Alternatif


  OS alternatifs


  Problèmes règles iptables

 

Plan du forum
Forum MesDiscussions.Net, Version 2007.3
(c) 2000-2008 Doctissimo Software
Page générée en 0.050 secondes
Hit Parade