Bonjour à tous,
N'étant pas trop habitué à la configuration de iptables ou autre firewall
sous Linux j'aimerai avoir un petit peut d'aide.
Voici grosso-modo mes besoins et les règles que j'utilise mais apparemment
cela ne fonctionne pas .
INTERNET --> router frontal --> FW --> DMZ
\
\---> local net 1
\--> local Net 2
Il n'y a pas de NAT car tous les réseaux sont publiques donc d'après les
règles diverses et variées il ne faut que des règles de FORWARD, INPUT et
OUTPUT au niveau IPTables.
voici ce que j'ai pu mettre en sachant que je me concentre d'abords sur le
fonctionnement de la DMZ et que les interfaces sont les suivante:
eth0 --> Internet
eth1 --> DMZ
eth2 --> Lan 1
eth3 --> Lan2
####################
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p udp
-dport 53 -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p udp
-dport 53 -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p icmp
--icmp-type echo-request -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p icmp
--icmp-type echo-request -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p icmp
--icmp-type echo-reply -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p icmp
--icmp-type echo-reply -j ACCEPT
iptables -I FORWARD --in-interface eth1 --destination 0/0 -j ACCEPT
iptables -I INPUT --in-interface eth1 -j ACCEPT
iptables -I OUTPUT --out-interface eth1 -j ACCEPT
##########
J'avoue que je tourne un peu en rond et que je ne trouves pas le pourquoi
du comment le routage ne fonctionne pas en sachant que si je retire toutes
les règles iptables celà fonctionne parfaitement.
Merci de votre aide
----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------
PEREZ Stephane
Carrier IP Specialist, EMEA Shasta NTS
Nortel Networks
ATS IP Core Infrastructure
25, allee Pierre Ziller
06560 Valbonne, FRANCE
Phone: +33 4 92 96 18 05 Mail : mailto:perezs@nortelnetworks.com
Fax : +33 4 92 96 16 68 www : http://www.nortelnetworks.com
Esn : 296-1805 Intranet :
http://hector.europe.nortel.com
ICQ : 120356046