1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
|
#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet,
# met en place un firewall basique et un partage de connexion
#
# Inspiré du script de Mjules_at_ifrance.com
#
start() {
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
/sbin/ifup eth0
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
# Acceptation de toutes les connexions en local (un process avec l'autre)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# partage de connection
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.1.0/24 -d 172.16.20.19 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 172.16.20.19 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
# refuser l'accé au GLPI
#iptables -A FORWARD -s 192.168.1.55 -d 192.168.1.254 -p tcp --dport 8080 -j DROP
#iptables -t nat -A PREROUTING -s 192.168.1.55 --dport 8080 -j DNAT --to-destination 192.168.1.254:8080
# PORT FORWARDING:
# attention : on ne peut <del>malheureusement</del> heureusement pas mettre un nom de machine en destination, il faut mettre l'adresse IP.
# exemple : on veut qu'un serveur HTTP installé sur une machine du réseau local soit visible depuis l'extérieur.
iptables -A FORWARD -p tcp --sport 80 -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 172.16.20.19 --sport 80 -j SNAT --to 192.168.1.254
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.50 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50:80
#iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
#création d'une nouvelle règle
iptables -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)
iptables -A MAregle -m state --state NEW -i! eth0 -j ACCEPT
iptables -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
}
stop() {
echo 0 >/proc/sys/net/ipv4/ip_forward
ifdown eth0
}
case "$1" in
start)
start
;;
stop)
stop
;;
restart)
stop , start
;;
*)
echo "Usage $0 {start|stop|restart}"
exit 1
esac
exit 0 |
configuration d'un pare feu sous ubuntu avec iptables
Répondre avec citation
Partager