Author: Jerome KIEFFER Date: To: guilde Subject: Re: iptables
On Sun, 17 Aug 2003 21:32:43 +0200
Stephane Driussi <stephane.driussi@???> wrote:
> c'est une bete de course ton firewall.
C'est pas moi l'auteur principal. Un grand merci a Rusty car quand on a
monté le premier firewall iptables, il a un peu été floodé de question
de notre part (notre = Sam, Yack, Mike et moi)
> Je viens d'ipchains, je vais le
> decortiquer pour apprendre le langage iptables. J'ai deja trouve les
> lignes qui m'interresse.
non, celui là n'a que 2 pattes ;)
celui qui est en production sur islay en a 4 (WIFI et VPN en plus), et
ca commence a être la jungle dedans, mais tout en restant lisible.
Bien sur par la suite il y a le traffic-sharper avec QoS, les regles
Mangle et HTB.
> Je viens de voir le post de Manu. Je penses que c'est ca qui plante le
> serveur dns de mon modem routeur et qui le fait rebooter. (genial le
> diva 2430...). J'ai corrige le tir en installant un serveur dns cache
> sur la passerrelle.
il me semble qu'aucun modem routeur (à moins de 1000 euros) n'est
suffisement "intélligent" pour faire le DNS. il se contente de récupérer
les DNS et de les mettre au bon endroit pour le serveur DHCP puis il
laisse passer les requetes DNS.
> Sous ipchains j'autorise le
> forward des ports 20,21,80 et 443.
Il n'y a que quelques champs a changer dans la premiere page.
Par contre je trouve que ton firewall est vraiment pas permissif ! à la
rigueur cela aurait été plus simple de tout interdire et de juste mettre
un SQUID sur le serveur.
Et puis comment tu fais pour les mails ? il y a pas moyen que cela parte
??? il faudrait ouvrir le port 25 sur le routeur non ?
A+
--
Jérôme @taz : Morgan 1200 + 1Go DDR in a 10L SS40G
"Windows 95 is a 32-bit shell for a 16-bit extension to an 8-bit
operating system designed for a 4-bit microprocessor by a 2-bit company
that can't stand one bit of competition."