Voici mon 1er script FIREWALL que je viens de commencer, installer sur un serveur linux mandriva avec 2 cartes réseau eth1(reseau interne) et eth0(réseau internet).
Je ne connaissis rien du tout a iptables avant.....
J'aimerai savoir ce que vous en pensez et surtout savoir comment faire pour empecher le réseau interne de faire une connexion TELNET (port 23) sur le firewall.
j'avai ecris ça mais comme ça ne marche pas, je l'ai supprimé :
iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --dport 23 -j DROP
Voici mon script :
#!/bin/bash
# Script pour le firewall créé par Jérémie BONDOUX
# source : http://christian.caleca.free.fr/netfilter/iptables.htm
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP # rejette les paquets entrants
iptables -t filter -P OUTPUT DROP # rejette les paquets sortants
iptables -t filter -P FORWARD DROP # rejette les paquets non locaux
# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
########################################################################################
# Connexion localhost et connexions client-serveur
# Nous considérons que notre réseau local est également sûr (ce qui n'est pas forcément vrai)
iptables -t filter -A OUTPUT -o lo -j ACCEPT
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -j ACCEPT # en sortie
iptables -t filter -A INPUT -i eth1 -j ACCEPT # en entrée
# Translation d'adresses pour le client WINDOWS qui traverse la passerelle
# en sortant par ppp0
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j MASQUERADE
# Toutes les connexions qui sortent du LAN vers le Net
# sont acceptées
iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
# Seules les connexions déjà établies ou en relation avec
# des connexions établies sont acceptées venant du Net vers le LAN
iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
Forum général.cherche-logiciel Script FIREWALL - help débutant - IPTABLES netfilter
13
jan.
2006
# l'ordre est important
Posté par nicolasi . Évalué à 1.
iptables -t filter -A OUTPUT -o eth1 -j ACCEPT # en sortie
iptables -t filter -A INPUT -i eth1 -j ACCEPT # en entrée
De plus, elles (tes regles anti-telnet) contiennent, il me semble, une erreur:
iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --dport 23 -j DROP
Ca devrait etre:
iptables -t filter -A INPUT -i eth1 -p tcp --dport 23 -j DROP
iptables -t filter -A OUTPUT -o eth1 -p tcp --sport 23 -j DROP
# Commentaire supprimé
Posté par Anonyme . Évalué à 2.
Ce commentaire a été supprimé par l’équipe de modération.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.