Firewall à trois interface lan, dm et internet avec debian

Support Debian
#1

bonjour à tous,
j’aimerais mettre en place un parefeu (debian lenny) à trois interfaces réseaux (l’une pour le lan (ip 172.16.0.1/16), la 2ème pour la dmz (ip 192.168.3.1/24) et la 3ème interface avec adresse public pour l’exterieur (ip x.x.x.4/28) avec iptables.ce parefeu doit me permettre le partage de connexion internet pour les utilisateurs (coté lan), l’accés au serveurs (placés dans la dmz) à partir du lan et de l’extérieur (internet).je sais que l’accès internet peut etre configuré avec masquerade de iptables. mais je voudrais implémenter le nat static pour la partie dmz vers l’exterieur : mes serveurs de la dmz ont des adresses ip privées (192.168.3.10 pour le premier serveur (site web), 192.168.3.11 pour le 2ème serveur (c’est une application accessible via le port 80) et 192.168.3.12 pour la messagerie. je voudrais que ces 3 serveurs seront visible de l’extérieur avec des adresses publiques statique x.x.x.10 (web), x.x.x.11 (application) et x.x.x.12 (messagerie). est ce que cela est possible avec iptables.
merci pour votre aide

#2

salut

le plus simple est de prendre un domain chez gandi et de rediriger avec le dns de gandi
sur ta machine via une adresse IP dynamique à l’aide de dyndns.org

sinon si tu dispose d’un IP fixe avec ton fai c’est encore plus simple

après il te faut avec iptables faire le routage

ATTENTION cela nécessite une connexion continue et un systeme de protection avec onduleur fiable

a+ gilles

#3

Oui, c’est possible avec iptables.
Il faut auparavant attribuer toutes les adresses publiques des serveurs DMZ à l’interface publique pour que ces adresses soient accessibles sur le LAN public, et activer le fonctionnement en routeur IP (ip_forward=1).

Exemple :

[code]# NAT source pour les machines du réseau privé vers le réseau public
iptables -t nat -A POSTROUTING -o $IF_PUB -s 172.16.0.0/16 -j SNAT --to x.x.x.4

NAT source et destination pour un serveur DMZ

iptables -t nat -A POSTROUTING -s 192.168.3.10 -j SNAT --to x.x.x.10
iptables -t nat -A PREROUTING -d x.x.x.10 -j DNAT --to 192.168.3.10[/code]
Il reste ensuite à ajouter les règles de filtrage dans la table FORWARD pour autoriser/bloquer les flux en fonction des adresses source et destination, ports, interfaces d’entrée et de sortie…

Iptables ne fait pas de routage. Il fait du filtrage, du NAT, de l’altération de paquets.

#4

:mrgreen: arrggggg è chaque fois j’emploi le mauvais mot (routage)

c’est vrais iptables ne fait pas de routage. toutes mes excuses pascal

#5

bonjour;
merci pour la reponse. je vais l’essayer et je vais poster le script iptable.
merci pour le guide

#6

Bonjour,

Avez-vous réussi à faire votre fichier iptable ?
Si oui, je serai intéressé de le voir car je voudrai faire un firewall pour gérer des accès entre 3 LAN et 1 WAN.

Cordialement