Voici mon architecture réseaux.
en fait je veux que le poste 1 et 2 , est le net , donc j’ais établi des règle iptables que je vai commenter :
[quote]#/bin/sh
Nous vidons les chaînes :
iptables -F
Nous supprimons d’éventuelles chaînes personnelles :
iptables -X
Nous les faisons pointer par défaut sur DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Nous faisons de même avec toutes les autres tables,
à savoir “nat” et “mangle”, mais en les faisant pointer
par défaut sur ACCEPT. Ca ne pose pas de problèmes
puisque tout est bloqué au niveau “filter”
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
#-----------------------------------------
Nous considérons que la machine elle même est sûre
et que les processus locaux peuvent communiquer entre eux
via l’interface locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Nous considérons que notre réseau local est
également sûr (ce qui n’est pas forcément vrai, d’ailleurs).
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
#------------------------------------------------
Translation d’adresses pour tout ce qui traverse la passerelle
en sortant par eth3
iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
#-----------------------------
Toutes les connexions qui sortent du LAN vers le Net du lycée
sont acceptées
iptables -A FORWARD -i eth0 -o eth3 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
Nous aurions aussi bien pu écrire :
iptables -A FORWARD -i eth0 -o eth3 -m state --state ! INVALID -j ACCEPT
Seules les connexions déjà établies ou en relation avec
des connexions établies sont acceptées venant du Net vers le LAN
iptables -A FORWARD -i eth3 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#------------
Accès SSH depuis le lycée
iptables -A INPUT -p tcp --dport ssh -i eth3 -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o eth3 -j ACCEPT[/quote]
tout ce qui ce trouve en entrée , j’arrive à filtrer les port etc… mais tout ce qui ce trouve en sortie je n’arrive pas à bloquer .
par exemple je voudrais pas que les poste ce trouvent dèrière le shitch sur eth0 puissent accédé au TSE qui ce trouve sur eth3
donc j’ais tapper :
[quote]iptables -A INPUT -p tcp --dport 3389 -i eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 3389 -o eth0 -j DROP[/quote]
mais cella ne marche pas