Bonjour à tous j'aurai besoin d'une aide pour le rajout d'une regle au niveau de mon script iptable.
Schéma:
Mon Lan ==> FW Linux Iptables==> Internet.
######==> Second routeur/vpn==>Modem==> Internet
Code :
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
|
#!/bin/bash
#script de configuration iptables
#16-05-2009
wan="eth1"
lan="eth0"
serveur1="172.16.0.19"
serveur2="172.16.0.252"
intranet="172.16.0.31"
pcadmin1="172.16.0.91"
pcadmin2=$(/usr/bin/host pan-por03.panidor.org | cut -d" " -f4)
# Refuse les rénses aux broadcasts.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Refuse le routage des paquets source.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Refuse les redirections ICMP.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Active la protection contre les erreurs ICMP.
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Log les paquets spoofé le routage des paquets source et la redirection des paquets.
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Active la protection TCP syn cookie
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
#activation du routeur####
echo "1" > /proc/sys/net/ipv4/ip_forward
# Interdire toute connexion entrante et sortante
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
#Remise à ero
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE
######################## LAN ##################################
#### Autoriser les connexions deja etablis ou renouvellé#####
#### qui traverse le pare-feu #################################
iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
######################## PARTIE SERVEUR #######################
#### Autorise protocole UDP pour le dns, Serveur 1 et 2 #######
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
#### Autorise protocole TCP pour serveur 1 (pop3,smtp,dns)et 2(dns) ####
iptables -A FORWARD -p tcp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dport 110,25,53 -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
#### Autorise LAN Ã aire de l'https ####
iptables -A FORWARD -p tcp --dport 443 -i $lan -o $wan -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ICMP -i $lan -o $wan -m state --state NEW -j ACCEPT
## Autorisation des pcadmin 1 et 2 en tcp udp 47 (gre)
iptables -A FORWARD -p tcp -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -i $lan -o $wan -s $pcadmin2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $pcadmin2 -m state --state NEW -j ACCEPT
########## Autorisation du routage pour HARDIS################
iptables -A FORWARD -p ALL -i $lan -o $lan -s 172.16.0.0/16 -d 172.16.0.175 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ALL -i $lan -o $lan -s 192.168.208.0/255.255.240.0 -d 172.16.0.0/255.255.0.0 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ALL -i $lan -o $lan -s 172.16.0.0/16 -d 192.168.208.0/255.255.240.0 -m state --state NEW -j ACCEPT
#iptables -A INPUT -p ALL -i $lan -d 192.168.208.0/255.255.240.0 -m state --state NEW -j ACCEPT
############################################################################################################
iptables -A FORWARD -p tcp -i $lan -o $wan -s $intranet -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp -i $lan -o $wan -s $intranet -m state --state NEW -j ACCEPT
iptables -A FORWARD -p 47 -i $lan -o $wan -s $pcadmin1 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p tcp -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
#iptables -A FORWARD -p udp -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
############ LAN => FW ###################
#### redirection du port 80 qui rentre par l'interface lan vers le port dansgaurdian ####
iptables -t nat -A PREROUTING -i $lan -p tcp --dport 80 -j REDIRECT --to-ports 8080
#### Autorise le SSH du lan vers FW ####
iptables -A INPUT -p tcp --dport ssh -i $lan -m state --state NEW -j ACCEPT
#### Autorise le LAN a rentrer sur le port 8080 et donnéa rénse sur le 80
iptables -A INPUT -p tcp --dport 8080 -i $lan -m state --state NEW -j ACCEPT
############iptables -A OUTPUT -p tcp --sport 80 -o $lan -m state --state NEW -j ACCEPT
#########
### FW ##
#########
###############################################################
##### Autorise les connexion dè etablished ou renouvellé###
##### en input /output ####
###############################################################
iptables -A INPUT -i $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
###################### interface local ########################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
############### Autoriser le FW interroger DNS WAN ################
iptables -A OUTPUT -o $wan -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp --dport 53 -m state --state NEW -j ACCEPT
############### Autoriser le FW interroger DNS LAN ################
iptables -A OUTPUT -o $lan -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $lan -p tcp --dport 53 -m state --state NEW -j ACCEPT
############### Autoriser le FW interroger web ################
iptables -A OUTPUT -o $wan -p tcp --dport 80 -m state --state NEW -j ACCEPT
##############PING ################
iptables -A OUTPUT -o $wan -p icmp -j ACCEPT
###############################################################
###################### FTP ##############################
###############################################################
#################### Active Module ############################
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
####################### FW => WAN ############################
iptables -A OUTPUT -o $wan -p tcp --dport 21 -m state --state NEW -j ACCEPT
################## ftp du LAN vers WAN #######################
iptables -A FORWARD -p tcp -i $lan --sport 1024:65535 --dport 21 -o $wan -m state --state NEW -j ACCEPT |
Ces regle concerne uniquement les regles pour les accces internet.
J'ai rajouter sur le FW linux une route
Information de la route ajouté:
reseau 192.168.208.0
masque 255.255.240.0
passerelle 172.16.0.175 (mon second routeur /tunnel ipsec)
L'ensemble de mes postes client son configurer avec le FW en passerelle par defaut, j'ai donc rajouter la route pour leur dire que pour joindre le réseau demandé il faut qu'il utilise le second routeur (172.16.0.175)
Par défaut rien ne passe avec iptable, j'ai donc rajouter ceci:
Code :
1
2
3
4
5
|
########## Autorisation du routage pour HARDIS################
iptables -A FORWARD -p ALL -i $lan -o $lan -s 172.16.0.0/16 -d 172.16.0.175 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p ALL -i $lan -o $lan -s 192.168.208.0/255.255.240.0 -d 172.16.0.0/255.255.0.0 -m state --state NEW -j ACCEPT |
Le ping OK.
Mais la connexion à l'application est impossible.
J'ai pour l'instant laissé la regle suivante pour que connexion puisse se faire:
iptables -t filter -P FORWARD ACCEPT
Quel regle j'ai omis ajouter? quel erreur se trouve dans mon script?
Merci
guigui69
11/01/2010, 14h20
Ajout Regle iptables
00
francois 
Joe Hopkins
