Bonjour à Tous,
J'ai commencé ce sujet sur le Chan, mais je pense que pour des question de compréhension et de partage, je continue sur le forum.
Voilà donc mes règles iptables qui gèrent mon firewall:
#! /bin/sh
# mise a zero iptables
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -F
# ROUTAGES
# Active la redirection d'IP! Important... Permet de rediriger tout paquet sur le LAN
echo 1 > /proc/sys/net/ipv4/ip_forward
# REGLES INPUT/OUTPUT/FORWARD
# Les connexions entrantes sont bloquées par défaut
iptables -P INPUT DROP
# Le protocole ICMP (i.e. le "ping") est accepté
iptables -A INPUT -p icmp -j ACCEPT
# Les connexions sortantes sont bloquées par défaut
iptables -P OUTPUT DROP
# Les connexions de redirection sont bloquées par défaut
iptables -P FORWARD DROP
# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Les packets entrants relatifs à des connexions déjà établies ou pré-établies sont acceptés
iptables -A INPUT -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Les connexions sortantes relatifs à des connexions vers Internet (ppp0) sont acceptées
iptables -A OUTPUT -o ppp0 -j ACCEPT
# MASQUERADE
# dans la table du NAT (-t nat) on ajoute une règle (-A) après le routage (POSTROUTING)
# pour tous les paquets qui sortent par eth0 (-o ppp0) qui stipule de
# camoufler la connexion (-j MASQUERADE)
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Mes questions sont :
1. Suis-je bien protégé en sachant que j'ouvre au fur et à mesure ce dont j'ai besoin.
2. Comment expliquer qu'avec ces règles mon DHCP affecte des IP à mes postes clients...sachant que par défault tout est bloqué.
3. Si vous pensez à des améliotations, je suis preneur
Merci.
@++