Re: iptables

On Sun, 17 Aug 2003 17:58:50 +0200
Stephane Driussi <stephane.driussi@???> wrote:

> Bonjour a tous,
>
> je debute avec iptables et j'aimerai autoriser un forward vers
> l'exterieur seulement sur certains ports (http et ftp). Voici un
> morceau de mon script d'init recupere quelque part sur le net:

je suppose qu'il fonctionne ...

> iptables -N local-internet
> iptables -A local-internet -m state --state NEW -i ! eth1 -j ACCEPT
> iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
> ACCEPT iptables -A INPUT -j local-internet
> iptables -A FORWARD -j local-internet

a ta place je définirait 6 groupes de filtres :

ext-lan
lan-ext
routeur-ext
ext-routeur
routeur-lan
lan-routeur

eu ensuite je travaillerai dessus

> iptables -t nat -F
> iptables -t nat -X
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
> iptables -t nat -P OUTPUT ACCEPT
###a ce niveau on se tappe de latable mangle
> iptables -t mangle -F
> iptables -t mangle -X
> iptables -t mangle -P PREROUTING ACCEPT
> iptables -t mangle -P OUTPUT ACCEPT

> iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
>
> j'ai modifie la derniere ligne en ajoutant -p tcp --dports
> http,ftp,ftp-data est-ce suffisant ?

non : cela ne se fait pas sur la table NAT mais sur la table de
filtrage.



> Je voudrais aussi logger les tentatives de forward qui ont ete
> refuses.
une jois que cela marche, c'est trivial.

--
Jérôme @taz : Morgan 1200 + 1Go DDR in a 10L SS40G
"Windows 95 is a 32-bit shell for a 16-bit extension to an 8-bit
operating system designed for a 4-bit microprocessor by a 2-bit company
that can't stand one bit of competition."