Voilà, je vous éxplique mon probleme. J'ai une machine sous debian, et j'ai 3 cartes reseaux, elles sont comme ça:
eth0 --> Internet par l'intermédiaire d'une neufbox.
eth1 --> 10.117.27.120 (Passerelle pour un reseau particulier)
eth2 --> 192.162.119.152 (Passerelle pour reseau professionnel)
Alors ce que je voudrais faire:
eth1 vers eth2 = Blocké
eth2 vers eth1 = Blocké
eth1, eth2 vers eth0 = OK et donc eth0 vers eth1,2 = OK
alors j'ai déjà fait quelques truc, que je voudrais que vous regardiez et me dire si c'est bon ou pas.
#Bloque eth2 et eth1 de communiquer
iptables -A FORWARD -i eth1 -o eth0 -j DROP
iptables -A FORWARD -i eth2 -o eth0 -j DROP
#Autorisé eth2 et eth1 a accédé a eth0
ipables -A FORWARD -i eth1 -o eth0 -j ACCEPT
ipables -A FORWARD -i eth2 -o eth0 -j ACCEPT
#Filtrer les arrivé d'internet
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED, RELATED -j ACCEPT
Et si ça c'est bon, je voudrais controlé l'accé a la neufbox. Je m'éxplique, seul deux IP pourront accéder a la neufbox.
Et la je bloque....
Merci d'avance de votre aide.
@+
Keisuke
# pas mal mais ...
Posté par NeoX . Évalué à 1.
en gras tu bloques le trafic de eth1 et eth2 vers eth0, tu l'accepte juste apres...
je ferais
il faut surement adapter les lignes en gras pour faire correspondre les adresses IP et le masque à ton installation personnelle.
[^] # Re: pas mal mais ...
Posté par keisuke . Évalué à 1.
juste quelques éclaircissements:
les trois premières lignes servent à quoi?
et le /24 ou /8 sert à quoi aussi ?
Mais pour ça:
Je crois comprendre que seul les IPs 192.162.119.x/24 peuvent accéder a internet, ainsi que 10.117.27.y/8.
Seulement, je voudrais que par exemple:
exemple:
l'adresse IP 192.162.119.40 puisse accéder a la neufbox (ex: 127.17.27.1) ainsi qu'une IP: 10.117.27.34
//fin
Merci quand meme pour le reste.
Cordialement,
@+
Keisuke
[^] # Re: pas mal mais ...
Posté par NeoX . Évalué à 1.
man iptables (tres utile la commande man
ou google nous dit
http://www.delafond.org/traducmanfr/man/man8/iptables.8.html
enfin, oui les deux dernieres lignes
#Filtrer les PC qui peuvent aller sur internet
iptables -A FORWARD -s 192.162.119.x/24 -o eth0 -j ACCEPT
iptables -A FORWARD -s 10.117.27.y/8 -o eth0 -j ACCEPT
sont pour chacune des deux IP que tu veux autorisé à sortir vers eth0
le /24 veut dire avec un masque de sous reseau de 255.255.255.0
le /8 veut dire avec un masque de sous reseau de 255.0.0.0
cela permet donc d'autoriser tout le reseau si tu met 0 à la place de x ou y.
tu dois pouvoir t'en passer en mettant les adresses IPs des machines si tu veux cibler certaines machines bien particulieres.
attention, une adresse IP ca peut se changer
il faut peut-etre plutot voir pour filter à partir de l'adresse MAC de la carte reseau.
dans tous les cas, les reponses à tes questions se trouve dans le
man iptables (cité plus haut)
# Firewall Builder
Posté par monsieurw . Évalué à 1.
Pour créer un script de filtrage, essayez Firewall Builder :
http://www.fwbuilder.org/
En comprenant les principes du filtrage, il devient relativement simple de créer un script qui fait ce qu'on veut sans y passer trop de temps.
Un petit résumé de son utilisation :
* d'abord créer tous les objets qui vont être utilisés (réseaux, machines, routeurs, ports et bien sûr le pare-feu sur lequel la politique va être appliquée)
* écrire les règles de filtrage (toujours finir par une règle de type "Any Any DENY", et logguer ça)
* enfin, envoyer le script sur le pare-feu et tester.
Personnellement, n'étant pas bilingue français-iptables, ça me simplifie la vie. Avec en plus le support de RCS, il est possible de reprendre une version antérieure en cas de problème.
Mmmh... Ça fait très "publi-reportage", non ? désolé...
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.