Bonjour
Désolé pour ce titre qui n’est peut-être pas assez explicite mais je vais essayer de détailler mon problème au maximum.
Malgré mes multiples recherches sur internet (tutoriaux, forums et autres), je n’ai pas trouvé les modifications à apporter à mon script iptables pour:
Accéder à la debian non passerelle (dnp) depuis mon poste sous win$
-Pouvez vous m’indiquer quelles lignes je dois modifier ou ajouter au script iptables?
-Ou dans le cas où le script est correcte, que dois-je changer dans putty (sur mon pc sous win) pour accéder à la dnp?
Voici quelques informations complémentaires:
/etc/network/interfaces de la passerelle :[code]# This file describes the network interfaces available on your system
and how to activate them. For more information, see interfaces(5).
The loopback network interface
auto lo
iface lo inet loopback
Activation de la fonction de forwarding IP au niveau du noyau
up echo "1" > /proc/sys/net/ipv4/ip_forward
The primary network interface
auto eth0
iface eth0 inet static
address 10.0.0.155
netmask 255.255.255.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.240
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers mesdns
dns-search phoenix.skynet.com
The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.0.2
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 10.0.0.240[/code]
/etc/network/interfaces de la dnp :
[code]# This file describes the network interfaces available on your system
and how to activate them. For more information, see interfaces(5).
The loopback network interface
auto lo
iface lo inet loopback
The primary network interface
auto eth0
iface eth0 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.2
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers les dns du FAI
dns-search madebian[/code]
Script iptables inspiré de via.ecp.fr/~alexis/formation-linux/ :
[code]#!/bin/sh
/etc/network/if-pre-up.d/iptables-start
Script qui démarre les règles de filtrage « iptables »
Formation Debian GNU/Linux par Alexis de Lattre
http://www.via.ecp.fr/~alexis/formation-linux/
REMISE à ZERO des règles de filtrage
iptables -F
iptables -t nat -F
DEBUT des « politiques par défaut »
Je veux que les connexions entrantes soient bloquées par défaut
iptables -P INPUT DROP
Je veux que les connexions destinées à être forwardées
soient acceptées par défaut
iptables -P FORWARD ACCEPT
Je veux que les connexions sortantes soient acceptées par défaut
iptables -P OUTPUT ACCEPT
FIN des « politiques par défaut »
DEBUT des règles de filtrage
Pas de filtrage sur l’interface de « loopback »
iptables -A INPUT -i lo -j ACCEPT
J’accepte le protocole ICMP (i.e. le « ping »)
iptables -A INPUT -p icmp -j ACCEPT
J’accepte le protocole IGMP (pour le multicast)
iptables -A INPUT -p igmp -j ACCEPT
J’accepte les packets entrants relatifs à des connexions déjà établies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Décommentez la ligne suivante pour que le serveur SSH éventuel
soit joignable de l’extérieur
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Décommentez les deux lignes suivantes pour que le serveur de DNS éventuel
soit joignable de l’extérieur
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -p udp --dport 53 -j ACCEPT
Décommentez la ligne suivante pour que le serveur Web éventuel
soit joignable de l’extérieur
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
La règle par défaut pour la chaine INPUT devient « REJECT »
(il n’est pas possible de mettre REJECT comme politique par défaut)
iptables -A INPUT -j REJECT
FIN des règles de filtrage
DEBUT des règles pour le partage de connexion (i.e. le NAT)
Décommentez la ligne suivante pour que le système fasse office de
« serveur NAT » et remplacez « eth0 » par le nom de l’interface connectée
à Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
FIN des règles pour le partage de connexion (i.e. le NAT)
DEBUT des règles de « port forwarding »
Décommentez la ligne suivante pour que les requêtes TCP reçues sur
le port 80 de l’interface eth0 soient forwardées à la machine dont
l’IP est 192.168.0.1 sur son port 80 (la réponse à la requête sera
forwardée au client)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
FIN des règles de « port forwarding »[/code]
Avec le script iptables qui précède, voici le bilan de putty:
Bilan des pings:
En espérant avoir été le plus explicite possible.
Je vous remercie d’avance
Cyberfrk