Bonjour,
Malgré mes nombreuses recherches, je persiste à ne rien comprendre à iptables. On pourrait dire que je le fait exprès, mais malheureusement, non... J'y met toute ma plus grande concentration, sans succès.
Mon firewall se situe sur une passerelle ou transite tout notre trafic vers internet.
Il arrive à rediriger les requêtes du port 80 vers notre proxy transparent, à bloquer un serveur suivant son adresse ip, mais pas à laisser tranquille les paquets qui viennent ou vont vers l'IP 172.18.109.11 (accessoirement, mon poste).
Je vous montre à quoi ressemblent mes agissements :
# Vidage des tables
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Tout accepter pour les IPs suivantes
iptables -t filter -A INPUT -i br0 -s 172.18.109.11 -j ACCEPT
iptables -t filter -A OUTPUT -o br0 -d 172.18.109.11 -j ACCEPT
iptables -t filter -A FORWARD -i br0 -s 172.18.109.11 -j ACCEPT
# Rediriger les requetes du port 80 vers le proxy
iptables -t nat -A PREROUTING -i br0 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Bloquer www.flash-games.net
iptables -t filter -A INPUT -i br0 -p tcp -s 209.172.34.242 -j DROP
iptables -t filter -A FORWARD -i br0 -o br0 -d 209.172.34.242 -j DROP
Si vous voyez la-dedans autre chose que des hiéroglyphes, chanceux que vous êtes, saurez-vous m'expliquer pourquoi iptables persiste à traiter les paquets venant de mon poste (172.18.109.11) ?
# re
Posté par Sylvain (site web personnel) . Évalué à 2.
# Le masquerading ?
Posté par Obsidian . Évalué à 1.
Voir d'une part du coté de --syn pour bloquer les connexions TCP entrantes depuis Internet, puis -j MASQUERADE en OUTPUT dans la table nat.
# De l'importance de ne pas abuser...
Posté par LaBienPensanceMaTuer . Évalué à 2.
En gros le problème ici est que ta règle de nat va "matcher" tout les paquets, qu'elle qu'en soit la source.
Il faut que tu la modifies en lui disant "la source ne doit pas être égale à mon ip".
Tu as maintenant la solution en bon français, je te laisse te sortir les doigts du c*l pr faire la conversion en iptables :p
# peut-etre parce que ...
Posté par NeoX . Évalué à 2.
cf le document http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWT(...)
y a un graphique qui explique dans quel ordre sont traités les regles.
dans ton cas je vois un prerouting qui envoie tout sur le proxy AVANT de traiter le reste.
PRErouting => Forward => Postrouting
du coup si c'est le proxy qui t'empeche de passer ben il faut
- soit autoriser ta machine à aller ou tu veux (dans la config du proxy)
- soit ne pas envoyer ce qui vient de ton IP vers le proxy (ce qui peut se traduire par "envoyer tout ce qui ne vient pas de mon IP vers le proxy" par exemple)
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.