Salut à tous,
voilà je sais pas si le titre est vraiment ce que je veux faire.
Voilà je m’explique, j’ai une machine cliente (192.168.0.82) avec les services http et ftp que je voudrais mettre en ligne.
l’interface connectée au net est eth1 sur ip_donnée par le FAI
l’interface connectée au réseau local est eth2 sur 192.168.0.1 (routeur)
comment dire a iptables de forwarder ou nater (je sais plus trop) les packets du net pour qu’il voient le serveur web (80) et ftp(20-21)
Voilà
@ bientôt
[code]iptables -t filter -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT # 1/laisser rentrer si tu filtres l’INPUT
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.82:80 # 2/rediriger ce qui arrive vers ton site
iptables -t filter -A FORWARD -d 192.168.0.82 -i eth1 -o eth2 -p tcp -m tcp --dport 80 -j ACCEPT # 3/laisser le paquet traverser une fois entré et redirigé si tu filtres le FORWARD
iptables -t filter -A OUTPUT -d 192.168.0.82 -o eth2 -p tcp -m tcp --dport 80 -j ACCEPT # 4/laisser le paquet ressortir si tu filtres l’OUTPUT[/code]
Bon, ça c’est le principe. Pour le ftp, une simple redirection ne suffira peut être pas. Si c’est le cas, charges le module ip_nat_ftp.
Salut matt, je test ça
je sais pas mais la destination est la même pour tous c’est normal ?
[code]server:~# iptables -L --line-numbers
Chain INPUT (policy DROP)
num target prot opt source destination
1 ACCEPT 0 – anywhere anywhere
2 ACCEPT 0 – anywhere anywhere state RELATED,ESTABLISHED
3 ACCEPT 0 – anywhere anywhere
4 DROP icmp – anywhere anywhere
5 ACCEPT tcp – anywhere anywhere tcp dpt:ftp-data
6 ACCEPT tcp – anywhere anywhere tcp dpt:ftp
7 ACCEPT tcp – anywhere anywhere tcp dpt:ssh
8 ACCEPT tcp – anywhere anywhere tcp dpt:smtp
9 ACCEPT tcp – anywhere anywhere tcp dpt:domain
10 ACCEPT udp – anywhere anywhere udp dpt:domain
11 ACCEPT tcp – anywhere anywhere tcp dpt:www
12 ACCEPT tcp – anywhere anywhere tcp dpt:pop3
13 ACCEPT tcp – anywhere anywhere tcp dpt:imap2
14 ACCEPT tcp – anywhere anywhere tcp dpt:https
15 ACCEPT tcp – anywhere anywhere tcp dpt:ipp
16 ACCEPT tcp – anywhere anywhere tcp dpt:xmpp-client
17 ACCEPT tcp – anywhere anywhere tcp dpt:www
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT 0 – anywhere anywhere state RELATED,ESTABLISHED
2 ACCEPT 0 – anywhere anywhere
3 ACCEPT tcp – anywhere 192.168.0.82 tcp dpt:www
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp – anywhere 192.168.0.82 tcp dpt:www
[/code]
la ligne 1 en input autorise tout paquet à entrer.
la ligne 2 en forward autorise tout à traverser.
Autant dire que cette config ne protège de rien.
Sinon, pour lister toutes les règles d’un coup (il manque le nat et le mangle) utilises iptables-save