Forum Linux.mandriva Besoin d'aide sur Iptables

Posté par  .
Étiquettes : aucune
0
9
mar.
2005
Bonjour aux lecteurs et bénévoles de ce site nouvellement découvert et que je trouve génial.

Enoncé du probleme :imaginons un serveur('monsrv') qui possède 3 pattes(eth0,eth1,eth2)
$ eth0 192.168.1.X/255.255.255.0 gère un lan privé
$ eth1 192.168.2.X/255.255.255.0 gère au autre lan privé indépendant du premier
Donc 2 réseaux totalement distincts !
$ eth2 192.168.3.X/255.255.255.0 a accès au net
Comment permettre aux machines sur eth0/eth1 de faire du smtp/pop3 avec un serveur de messagerie disponible sur le net de façon transparente. En fait ces machines penseraient faire de la messagerie avec 'monsrv' qui ne fait pas messagerie.
Faire du forwarder ?
Le soucis pour un newbie : le serveur de messagerie sur le net envoi les mails sur 'monsrv'.Comment celui-ci définira sur quel patte eth0/eth1 il faut forwarder ces mails?

Enfin bref, besion d'aide et d'explication !

  • # En te basant sur les interfaces (ou les réseaux)

    Posté par  (site web personnel) . Évalué à 5.

    Pour permettre de masquer les machines présentes sur 192.168.1.0/24 et 192.168.2.0/24 d'accéder à SMTP et POP3:
    # iptables -A FORWARD -i eth0 -p tcp -m multiports -o eth2 --dports 25,110 -J ACCEPT
    # iptables -A FORWARD -i eth1 -p tcp -m multiports -o eth2 --dports 25,110 -J ACCEPT
    Les deux précédentes règles supposent que la "policy" n'est pas à ACCEPT pour la chaîne FORWARD.
    # iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source <adresse externe de 'monserv'>
    Celle-ci permet de traduire l'entête IP de l'adresse source avec l'adresse de 'monserv'. Par contre, si tu souhaites faire en sorte que les clientes ne contactent que 'monserv', il faudra bien plus que des règles iptables: il faudra aussi des proxy POP3 et un relai SMTP.
    Quant à ton souci de "newbie", la règle suivante assurera que les paquets émis seront bien retournés à qui de droit:
    # iptables -A FORWARD -i eth2 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

    Des questions ?

  • # Script et documentation iptables

    Posté par  (site web personnel) . Évalué à 1.

    Bonjour,

    - j'ai écris un totoriel un peu long mais très progressif sur iptables et la securité réseau : http://olivieraj.free.fr/fr/linux/information/firewall/(...) . Tu y trouveras les réponses à tes questions sur le port forwarding

    - j'ai écris aussi un script iptables, très simple à configurer pou rce que tu veux faire, et qui transformera ton Linux en un routeur/FW : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...) . Remarque importante : Mon script ne fait pas de filtrage de ce qui sort, tout les ports sont donc ouverts en sortie. Par contre, aucun paquets venant de l'exterieur et non solicité ne sera accepté.

    Pour que tes clients puissent accéder à Internet sur les serveurs pop/imap/smp, il faudra simplement les configurer avec le nom/adresse IP de ces serveurs (des adresses sur Internet donc).

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.