Forum Linux.debian/ubuntu Ecouter sur plusieurs interfaces avec IPTABLES

Posté par  .
Étiquettes : aucune
0
5
sept.
2006
Salut,

Je voulais savoir s'il était possible et comment faire pour écouter sur plusieurs interfaces avec iptables.

J'ai une passerelle sur laquelle j'ai 2 cartes réseaux. Une pour ma freebox et l'autre qui est reliée à un switch.
J'ai également une interface virtuelle due à mon vpn

Ce que je voudrais faire c'est accepter des paquets provenants de mon interface qui est relié au switch et celle de mon VPN qui est une interface virtuelle (ham0).
C'est pour sécuriser samba.

comment faire ?
  • # écouter ?

    Posté par  . Évalué à 1.

    passons sur le terme "écouter" disons que tu as voulu dire "réguler" et la réponse est oui avec les options -i ou -o dans ta règle pour spécifier l'interface réseau sur laquelle tu veux appliquer la règle suivant qu'il s'agisse d'un trafic entrant (i) ou sortant (o).
    • [^] # Re: écouter ?

      Posté par  . Évalué à 3.


      la règle suivant qu'il s'agisse d'un trafic entrant (i) ou sortant (o).


      Ce n'est pas le traffic qui est entrant ou sortant, mais il s'agit plutot de designer la carte de sortie ou d'entrée (ce qui dans le cas présent reviens à peu près au même je l'accorde :p, mais qui prend toute son importance dans la table de nat par exemple).

      iptables -A INPUT -i eth0 -j ACCEPT acceptera par exemple tout les paquets entrants via l'interface eth0.

      Je t'invite à lire cet excellent tutoriel sur iptables:
      http://iptables-tutorial.frozentux.net/iptables-tutorial.htm(...)
    • [^] # Re: écouter ?

      Posté par  . Évalué à 1.

      Oui je voulais dire réguler.

      l'option -i pour input
      et -o pour output ok je connais
      Sauf que -i ne prend en paramètre qu'une seule carte réseau.

      les paquets arrivent soit sur eth0 (reseau local) soit sur ham0 (VPN)
      • [^] # Re: écouter ?

        Posté par  . Évalué à 1.

        bah tu fais 2 règles: 1 par interface
        • [^] # Re: écouter ?

          Posté par  . Évalué à 1.

          C'est ce que je pensais faire mais bon je cherche quand même un moyen plus propre
          • [^] # nouvelle chaine

            Posté par  . Évalué à 2.

            Personnelement, je crée une nouvelle chaine, appelons-là "private_net":
            iptables -N private_net

            puis dans la chaine standard INPUT je mets juste une redirection vers cette chaines pour les interfaces concernées:
            iptables -A INPUT -i eth1 -j private_net
            iptables -A INPUT -i ham0 -j private_net

            et si besoin l'équivalent dans la chaine OUTPUT avec -o.

            Ensuite tu rajoutes tes regles communes à ton réseau privé dans la chaine private_net

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.