Vous n'êtes pas identifié(e).
Dernière modification par smolski (07-05-2015 05:56:17)
Hors ligne
captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.
Hors ligne
Hors ligne
Hors ligne
Dernière modification par anonyme (15-11-2014 01:30:05)
Dernière modification par leonlemouton (15-11-2014 01:59:19)
Leonlemouton
°(")°
Hors ligne
ces 2 lignes ci dessous ne fonctionne pas , a priori pas de dns (navigation impossible)
#permettre le passage entre les deux interfaces eternet de la passerelle
/sbin/iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
Ton interface vers le web est eth0 d'IP 192.168.1.10 et celle vers le sous-réseau est eth1 d'IP 192.168.10.1
Essaie alors comme ceci :
Si cela fonctionne, tu peux mettre ensuite à "DROP" INPUT et OUTPUT, et ajouter les autres règles, pour le DNS et pour le reste.
Pour le DNS par exemple les règles concernées sont sur INPUT et OUTPUT et non au niveau de FORWARD :
J'essaie de t'expliquer ce que j'ai compris
Si tu fais "DROP" sur FORWARD (avec INPUT et OUTPUT à "ACCEPT")
en faisant seulement :
Tu n'auras pas de navigation sur ton ordi du sous-réseau car tu autorises seulement ce qui est établi, et rien ne l'ai.
Tu peux "faire parler" tes règles et tu verras qu'elles te protègent mal :
-> j'autorise le passage entre eth0 et eth1 pour ce qui est "RELATED,ESTABLISHED"
-> j'établie sur eth0 qui est tourné vers le web TOUT
Fais confiance à ton sous réseau et à tes règles sur INPUT sur eth0 pour établir ce qui est strictement nécessaire.
Il faut donc autorisé le web sur FORWARD (eth0), alors "ESTABLISHED,RELATED" ont rapport à quelque chose de plus sécurisé.
Tu pourrais aussi faire plus simplement :
Mais ce n'est pas très joli car sans suivi de connexion.
Enfin dans le pare-feu du script je ai bien mis :
Le NEW est important.
Je vais re-tester et mettre les règles du pare-feu du script utilisables indépendamment des IP pour pouvoir s'en servir en un bloc avec la méthode iptables-save.
À tout
Dernière modification par Hypathie (15-11-2014 10:14:02)
Hors ligne
Dernière modification par anonyme (15-11-2014 09:46:43)
y coller le contenu du script ci-dessus
Puis iptables-save et iptables-restore
une machine du reseau A pas de ping vers B (100% packet loss)
Tu n'as peut-être pas sauvegardé la table de routage et ton réseau A ne sait pas quelle est la route vers ton réseau B ?
Hors ligne
Dernière modification par Hypathie (15-11-2014 10:05:47)
Hors ligne
J'ai découvert iptables avec ce tuto : http://www.lafermeduweb.net/billet/tuto … .html#secu
J'ai regardé et du coup, ça me fait penser que j'ai oublié des règles pour samba et pour apache !
Merci
Dernière modification par Hypathie (15-11-2014 10:16:49)
Hors ligne
Dernière modification par anonyme (15-11-2014 10:41:47)
Hors ligne
Hors ligne
saque eud dun (patois chtimi : fonce dedans)
Hors ligne
Dernière modification par anonyme (16-11-2014 13:51:21)
et je considère ce tuto bon pour être placé
Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
Hors ligne
Hors ligne
Hors ligne
Hors ligne
Hors ligne
Hors ligne