Bonjours,
J’ais deux question à vous pausez au sujet d’IPTABLE.
Pouvez-vous m’expliquer le fonctionnement de cette ligne pour le proxy transparent ???
iptables -t nat -A PREROUTING ! -s 192.168.3.3 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.3:3128
Et comment interdire l’axé a un utilisateur en particulier
Par exemple interdire mon client 192.168.3.200 à ce qui visualise les fichiers partagés tout en ayant accès a l’intranet ???
iptables -t nat -A PREROUTING ! -s 192.168.3.3 -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.3:3128
Toutes les requêtes http (à l’exeption de celles venant de 192.168.3.3) arrivant sur l’interface eth1 du pare feu sont redirigées sur le port 3128 de la machine 192.168.3.3 (manifestement celle qui héberge le proxy, proxy qui écoute sur le port 3128)
Pour l’autre question, il faudrait que tu précises ton architecture, quel type de protocole/partage, fichier partagés sur quelle machine, positionnée comment par rapport au pare feu, sur le pare feu lui même etc…
Puis interdire a 192.168.3.200 interdira à tous les utilisateurs de ce poste l’accès a tes fichiers, pas seulement un seul. Pour filtrer les utilisateurs, il me semble qu’il serait plus pertinent de jouer sur les droits d’accès de ton partage, et non sur le pare feu.
Je suis d’accord.
Donc mon système de partage c’est samba.
Mon architecture réseaux :
J’ais mon serveur relier sur un Switch, et mes poste client relier sur ce Switch.
En fait je voudrais savoir comment interdire le port 22 par exemple sur adresse IP.
Je voudrais par exemple que 192.168.3.200 soit le seul poste qui et pas accès au ssh.
Le port de partage de fichier est le port 137 à 139 en tcp.
Oui, je pourrais changer mes règle de samba pour interdire le partage de fichier commetu ma dit n, mais je voudrais comprendre le fonctionnement d’iptable
lol
j’ais tout bloquer
[quote]iptables -A INPUT -i eth0 -p tcp -s 192.168.3.1 --dport 22 -j DROP
iptables -A INPUT -p tcp --dport ssh -j DROP
iptables -P INPUT DROP[/quote]
je suis a 200 Km de chez moi et perssone a la maison pour me faire un reset du PC
C’est dangeureux de jouer avec l’acces ssh quand on n’est pas sur place, un coup a scier la branche sur laquelle on est assis… ce que tu viens de faire 
Sinon, pour la question de samba : D’après microsoft, le protocole NetBIOS sur TCP utilise habituellement les ports suivants :
nbname 137/UDP
nbname 137/TCP
nbdatagram 138/UDP
nbsession 139/TCP
Le trafic SMB hébergé directement « sans NetBIOS » utilise le port 445 (TCP et UDP)
donc si samba tourne sur le meme serveur que celui qui héberge le pare feu, je dirais :
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p udp --dport 137 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p tcp --dport 137 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p tcp --dport 138 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p udp --dport 137 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p tcp --dport 445 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p udp --dport 445 -j DROP
Merci, j’ais peur de tester : lol:
fort heureusement mon VPN fonctionner, et j’ai webmin d’installer sur mon serveur. J’ais réussit à rebooter mon serveur comme cella.
On ma dit que webmin était dangereux, donc on peut y avoir accès que par le VPN, j’ais eut de la chance sur ce coups la.
Donc ci j’ais bien compris, ci je tape cette ligne par exemple
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p udp --dport 80 -j DROP
iptables -A INPUT -i Interface_entree -s 192.168.3.200 -p tcp --dport 80 -j DROP
Je bloque le port 80 sur cette adresse IP ???
Je rentre chez moi demain, je testerais MERCI
Pour éviter de te retrouver bloquer quand tu bosses à distance, tu peux faire un script qui passe tout en ACCEPT lancé toutes les 15 minutes par cron.
Ainsi, tu peux faire tes tests. Si jamais tu te bloques tu attends 15 minutes et tu recommences. Si ça passe, tu enlèves ton script de la crontab.
ca marche pas quand j’établie ces règle
[quote]iptables -A INPUT -i eth1 -s 192.168.3.1 -p udp --dport 80 -j DROP
iptables -A INPUT -i eth1 -s 192.168.3.1 -p tcp --dport 80 -j DROP[/quote]
mon client atouours accé a l’intranet !!!
[quote=“fabdunet1313”]ca marche pas quand j’établie ces règle
[quote]iptables -A INPUT -i eth1 -s 192.168.3.1 -p udp --dport 80 -j DROP
iptables -A INPUT -i eth1 -s 192.168.3.1 -p tcp --dport 80 -j DROP[/quote]
mon client atouours accé a l’intranet !!![/quote]
C’est normal, ces règles ne bloquent l’acces au port 80 que sur la machine hébergeant le pare feu (si elle hébergeait aussi un serveur web par exemple, tu empêcherait a 192.168.3.1 l’accès à ce serveur web).
Pour empêcher le firewall de router les requêtes http, c’est plutôt quelque chose comme ca qu’il te faut:
iptables -A FORWARD -i interface_entree_fw -o interface_sortie_fw -s 192.168.3.1 -p tcp --dport 80 -j DROP
Tu devrais lire le topic de ricardo sur iptables qui fourni et explique des règles simples pour t’aider a comprendre.
edit : j’ai peut être lu trop vite… intranet, ou internet ? Qu’est ce que t’appelle intranet ? Un serveur web local ?
Tu devrais décrire précisemment ta configuration, tes règles iptables actuelles (iptables-save) et ce que tu veux.
ok, je testerai ca mardi , et je vous enverais mon arcitecture réseaux