logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 28-01-2010 16:48:05

Sleement
Membre
Inscription : 28-01-2010

IpTables 3 adresse ip une carte reseau 3 configuration diférente

Bonjour,
J’ai actuellement un serveur web chez la compagnie iweb. Je souhaite appliquer de règle spécifique pour chaque ip.

Voici ma configuration actuelle.

#!/bin/sh
 
# Réinitialise les règles
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
 
# Bloque tout le trafic
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT DROP
 
# Autorise les connexions déjà établies et localhost
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
# ICMP (Ping)
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT
 
# SSH
/sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
 
# DNS
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
# HTTP
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# FTP
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT

# Mail SMTP
/sbin/iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
 
# Mail POP3
/sbin/iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
 
# Mail IMAP
/sbin/iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# NTP (horloge du serveur)
/sbin/iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Weechat
/sbin/iptables -t filter -A INPUT -p tcp --dport 6667 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 6667 -j ACCEPT

# Fail2ban reload des service
/etc/init.d/fail2ban restart


Donc voici ce que je souhaite faire.

Pour l'ip #1 et #2 elle seront publique. J'autorise seulement les port suivant
Port autorisé ; icmp, 20, 21, 25, 53, 80, 110, 443, 465, 993, 995
Les deux ip plus haut serons publique

La prochaine ip seras privé, donc aucun service publique
Port ; 22, 6667, 123

Je sais comment utilisé la rection pour chaque carte réseau mais pour les ip je suis pas sur.
p.s. chaque ip provienne et utilise eth0.

Hors ligne

Pied de page des forums