logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

Pages : 1

#1 28-01-2010 16:48:05

Sleement
Membre
Inscription : 28-01-2010

IpTables 3 adresse ip une carte reseau 3 configuration diférente

Bonjour,
J’ai actuellement un serveur web chez la compagnie iweb. Je souhaite appliquer de règle spécifique pour chaque ip.

Voici ma configuration actuelle.

#!/bin/sh
 
# Réinitialise les règles
/sbin/iptables -t filter -F
/sbin/iptables -t filter -X
 
# Bloque tout le trafic
/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT DROP
 
# Autorise les connexions déjà établies et localhost
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -t filter -A INPUT -i lo -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -o lo -j ACCEPT
 
# ICMP (Ping)
/sbin/iptables -t filter -A INPUT -p icmp -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p icmp -j ACCEPT
 
# SSH
/sbin/iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 22 -j ACCEPT
 
# DNS
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
 
# HTTP
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 80 -j ACCEPT

# FTP
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 20:21 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT

# Mail SMTP
/sbin/iptables -t filter -A INPUT -p tcp --dport 25 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 25 -j ACCEPT
 
# Mail POP3
/sbin/iptables -t filter -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 110 -j ACCEPT
 
# Mail IMAP
/sbin/iptables -t filter -A INPUT -p tcp --dport 143 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 143 -j ACCEPT

# NTP (horloge du serveur)
/sbin/iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT

# Weechat
/sbin/iptables -t filter -A INPUT -p tcp --dport 6667 -j ACCEPT
/sbin/iptables -t filter -A OUTPUT -p tcp --dport 6667 -j ACCEPT

# Fail2ban reload des service
/etc/init.d/fail2ban restart


Donc voici ce que je souhaite faire.

Pour l'ip #1 et #2 elle seront publique. J'autorise seulement les port suivant
Port autorisé ; icmp, 20, 21, 25, 53, 80, 110, 443, 465, 993, 995
Les deux ip plus haut serons publique

La prochaine ip seras privé, donc aucun service publique
Port ; 22, 6667, 123

Je sais comment utilisé la rection pour chaque carte réseau mais pour les ip je suis pas sur.
p.s. chaque ip provienne et utilise eth0.

Hors ligne

Pages : 1

Pied de page des forums

Propulsé par FluxBB