Problemes iptables

Page principale

Répondre à ce message
Auteur: Stephane Perez
Date:  
À: Guilde (E-mail)
Sujet: Problemes iptables

Bonjour à tous,

N'étant pas trop habitué à la configuration de iptables ou autre firewall
sous Linux j'aimerai avoir un petit peut d'aide.

Voici grosso-modo mes besoins et les règles que j'utilise mais apparemment
cela ne fonctionne pas .


 INTERNET --> router frontal --> FW --> DMZ
                                  \
                         \---> local net 1
                        \--> local Net 2


Il n'y a pas de NAT car tous les réseaux sont publiques donc d'après les
règles diverses et variées il ne faut que des règles de FORWARD, INPUT et
OUTPUT au niveau IPTables.

voici ce que j'ai pu mettre en sachant que je me concentre d'abords sur le
fonctionnement de la DMZ et que les interfaces sont les suivante:

eth0 --> Internet
eth1 --> DMZ
eth2 --> Lan 1
eth3 --> Lan2

####################
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p udp
-dport 53 -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p udp
-dport 53 -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p icmp
--icmp-type echo-request -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p icmp
--icmp-type echo-request -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS1/32 -p icmp
--icmp-type echo-reply -j ACCEPT
iptables -I FORWARD --in-interface eth0 --destination $DMZ_DNS2/32 -p icmp
--icmp-type echo-reply -j ACCEPT

iptables -I FORWARD --in-interface eth1 --destination 0/0 -j ACCEPT

iptables -I INPUT --in-interface eth1 -j ACCEPT
iptables -I OUTPUT --out-interface eth1 -j ACCEPT

##########

J'avoue que je tourne un peu en rond et que je ne trouves pas le pourquoi
du comment le routage ne fonctionne pas en sachant que si je retire toutes
les règles iptables celà fonctionne parfaitement.

Merci de votre aide

----------------------------------------------------------------------------
----------------------------------------------------------------------------
----------------
PEREZ Stephane 
Carrier IP Specialist, EMEA Shasta NTS 
Nortel Networks 
ATS IP Core Infrastructure 
25, allee Pierre Ziller 
06560 Valbonne, FRANCE 
Phone: +33 4 92 96 18 05      Mail      : mailto:perezs@nortelnetworks.com 
Fax    : +33 4 92 96 16 68      www     : http://www.nortelnetworks.com 
Esn    :  296-1805                  Intranet :
http://hector.europe.nortel.com
ICQ    : 120356046