L'icône rouge permet de télécharger chaque page du wiki visitée au format PDF et la grise au format ODT →

Différences

Ci-dessous, les différences entre deux révisions de la page.

--- doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 16:52]
Hypathie [Les règles du pare-feu pas à pas]
+++ doc:reseau:iptables-pare-feu-pour-une-passerelle [14/10/2014 17:16]
Hypathie [Détail pour les protocole TCP et UDP]
@@ Ligne 389: / Ligne 389: @@
   * Pour voir ce qu'on a fait :
-<code root>iptables -t nat -L FORWARD -t filter</code>
+<code root>iptables -L -t nat && iptables -L</code>
 ====Dépendance du NAT et des chaînes FILTER sur l'interface interne (eth1)====
@@ Ligne 503: / Ligne 503: @@
 Ils proviennent de la couche 2 (Liaison de données) du modèle OSI et selon le standard, il ne devrait y avoir de paquets qui utilisent la fragmentation.\\
 Lorsque cette situation se présente, nous sommes en présence d'un déni de service (DoS).
-Nous allons donc essayer de réduire les risques en repérant les paquets fragmentés qui n'ont pas lieu d'être, pour les rejeter.
+Nous allons donc essayer de réduire les risques en rejetant les paquets fragmentés qui n'ont pas lieu d'être.
   * Créons une chaîne utilisateur :
@@ Ligne 600: / Ligne 600: @@
 Il y a beaucoup plus de types ICMP que cela mais on peut dire que tout ce qui n'est pas expressément autorisé ci-dessus doit être bloqué.
-  * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la table NAT:
+  * Nous allons donc accepter tout ceux-ci et bloquer les autres dans la chaîne FORWARD ((nous ferons de même concernant imcp pour les chaînes INPUT et OUTPUT plus bas quand toutes les chaînes de FILTER seront à DROP.)):
 (Nous laissons passer aussi **provisoirement** une ouverture béante pour les chaînes INPUT et OUTP (FILTER) afin de tester tout cela.
@@ Ligne 643: / Ligne 643: @@
 </code>
 ====DROP sur INPUT et OUTPUT (chaîne filter) ====
-À l'étape suivante, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\
+Cette fois, il va falloir interdire (DROP) les chaînes INPUT et OUTPUT de la table FILTER pour tous les protocoles dont on a besoin.\\
-Mais on en finit d'abord avec IMCP qu'on laisse entrer et sortir (INPUT, OUTPUT) ce qu'on n'a laissé passer par FORWARD.
+D'abord avec IMCP qu'on laisse maintenant entrer et sortir par INPUT et OUTPUT, comme ce qu'on n'a laissé passer par FORWARD.\\ Attention l'ordre des règles comptes ici.
-On conserve ce qu'on a fait précédemment et on ajoute provisoirement les commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour station du LAN]] des autres protocoles pour la table FILTER (INPUT et OUTPUT envoyés à DROP).
+On conserve ce qu'on a fait précédemment et on ajoute aux commandes du [[atelier:chantier:iptables-pare-feu-pour-un-client#pour-les-fadas-du-scripting-shell|script pour un client du LAN]] les règles qui tiennent compte qu'il y a cette fois deux interfaces réseau.
 <code root>
@@ Ligne 1110: / Ligne 1110: @@
 </code>
-Et voilà, pour l'installation, suivre la même méthode que pour [[atelier:chantier:iptables-pare-feu-pour-un-client#firewall-clientsh-comme-script-init|firewall-client comme script init]].  ^_^
+Et voilà, c'est fini !\\
+Pour l'installation de script, suivre la même méthode que pour [[atelier:chantier:iptables-pare-feu-pour-un-client#firewall-clientsh-comme-script-init|firewall-client comme script init]].  ^_^
+La suite concernera le DNAT et SNAT, l'ajout de quelques règles pour certains protocoles laissés ici de côté, en particulier, concernant DHCP, cups, et enfin, l'installation sur cette passerelle d'un proxy transparent pour l'ensemble su réseau B.

doc/reseau/iptables-pare-feu-pour-une-passerelle.txt · Dernière modification: 01/11/2015 18:20 par milou

Debian-facile

Différences

Pied de page des forums