Bonjour à tous,
je suis entrain de créer un fichier pour des règle iptables pour un réseau d'une entreprise.
LAN (serveur, client) <==>FW (+proxy)<==>WAN
En fait je veut que mes serveurs puisse interroger:
- serveur DNS (de notre fai),
- récupérer les mail (pop)
- envoyer les mail (smtp).
( seulement interroger, mes serveur ne doivent pas être joignable depuis internet)
Mes utilisateurs eux passeront par un proxy pour accéder à internet. Et tout le reste doit être bloquer.
$lan = eth1
$wan = eth0
$serveur1 = 172.16.0.19
$serveur2 = 172.16.0.252
$wsus = 172.16.0.8
$fw = 172.16.0.140
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
#Vidage des regles
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#Politique de restriction par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#FW:
#processus locaux sont autorisés a fonctionner entre eux
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#De LAN vers FW
#regle SSH $lan vers FW
iptables -A INPUT -p tcp --dport ssh -i $lan -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o $lan -j ACCEPT
#rediriger les le flux web des utilisateur $lan sur le proxy
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination $fw:3128
#De LAN vers WAN
#regle des serveurs (exchange, wsus, pop,antivirus)
iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -i $lan -o $wan -s $wsus -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
#du FW vers WAN
#DNS
iptables -A INPUT -i $wan --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i $wan --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o $wan --protocol tcp --destination-port 53 -j ACCEPT
#web (surf)
iptables -A INPUT -i $wan --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o $wan --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
Est-ce correcte? ou est-je commis des erreurs?
Je ne suis pas sur au niveau des forwards.
Merci d'avance pour vos réponses.
Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
