Bloquer l'accès a un site via IPTABLES ?

chris38 · Février 20, 2016, 6:59pm

Bonjour,
Sur la base du script suivant, j’aimerai bloquer l’accès à certains sites et leurs sous domaines évidement, je ne passe pas par un proxy ! quelles règles dois-je rajouter ?

[code]iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT

autoriser le trafic local

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

suivi de connexion

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

autoriser les connexions sortantes vers internet

iptables -A OUTPUT -o eth0 -j ACCEPT

autoriser les connexions entrantes depuis le LAN

iptables -A INPUT -i eth1 -m state --state NEW -j ACCEPT

autoriser les connexions VNC sortantes vers le LAN

iptables -A OUTPUT -o eth1 -m state --state NEW -p tcp --dport 5900 -j ACCEPT

Ports sepciaux a ouvrir

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58400 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 58410 -j ACCEPT

autoriser les connexions entrantes HTTP et FTP depuis internet

FTP requiert le module de suivi de connexion ip_conntrack_ftp ou nf_conntrack_ftp

iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 21 -j ACCEPT

autoriser les connexions routees du LAN vers internet

iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

masquage source necessaire si le routeur amont n’a pas de route de retour vers le LAN

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE[/code]

Merci

alexmath · Février 20, 2016, 7:00pm

quelque chose dans ce style pour chaque domaine :

ReNzO_08 · Février 20, 2016, 7:00pm

Je ne suis pas personnellement convaincu qu’une règle de parefeu qui agit au niveau de la couche réseau et transport soit la bonne solution à ta problèmatique, avec le parefeu tu pourra bloquer l’accès à ton serveur http pour tout le monde où seulement certaines adresses ip ou d’un autre façon n’accepter la connexion à ton serveur http qu’à certaines adresses ip mais je pense qu’il s’agirait là d’une tâche pour un programme au niveau application style proxy ou un fichier de gestion de droit d’accès .htaccess dans le répertoire des sites dont tu veux controler l’accès