Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 29-04-2009 15:04:33

guigui69
Membre
Inscription : 29-04-2009

Configuration iptable

Bonjour à tous,


je suis entrain de créer un fichier pour des règle iptables pour un réseau d'une entreprise.

LAN (serveur, client) <==>FW (+proxy)<==>WAN

En fait je veut que mes serveurs puisse interroger:
- serveur DNS (de notre fai),
- récupérer les mail (pop)
- envoyer les mail (smtp).
( seulement interroger, mes serveur ne doivent pas être joignable depuis internet)
Mes utilisateurs eux passeront par un proxy pour accéder à internet. Et tout le reste doit être bloquer.

$lan = eth1
$wan = eth0
$serveur1 = 172.16.0.19
$serveur2 = 172.16.0.252
$wsus = 172.16.0.8
$fw = 172.16.0.140

# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward

#Vidage des regles
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#Politique de restriction par defaut

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#FW:
#processus locaux sont autorisés a fonctionner entre eux
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#De LAN vers FW
#regle SSH $lan vers FW
iptables -A INPUT -p tcp --dport ssh -i $lan -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o $lan -j ACCEPT

#rediriger les le flux web des utilisateur $lan  sur le proxy
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination $fw:3128

#De LAN vers WAN
#regle des serveurs (exchange, wsus, pop,antivirus)
iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -i $lan -o $wan -s $wsus  -m state --state NEW,ESTABLISHED,RELATED  -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT


#du FW vers WAN
#DNS
iptables -A INPUT -i $wan --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i $wan --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan --protocol tcp --destination-port 53 -j ACCEPT
#web (surf)
iptables -A INPUT -i $wan --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $wan --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT


Est-ce correcte? ou est-je commis des erreurs?

Je ne suis pas sur au niveau des forwards.

Merci d'avance pour vos réponses.

Hors ligne

#2 30-04-2009 14:33:05

MaTTuX_
La Paillasse !!!
Lieu : Zoubidou-Land
Distrib. : 75 serveurs
Noyau : 3.2.0-4-amd64
(G)UI : tty et ... pas gnome en tout cas....
Inscription : 28-05-2007
Site Web

Re : Configuration iptable

d'apres moi sa devrait etre bon mais je suis pas un pro iptable, la meilleurs facon de voir et de tester

\o/ Le closedSource c'est tabou on a viendra tous à bout \o/

Hors ligne

#3 30-04-2009 15:44:59

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Configuration iptable

Il est pas cool le MaTTux_ ?

Bon, tu nous diras... donc... wink

Amitié, Joel

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

Hors ligne

Pied de page des forums