Voilà comment je traduis tes règles:
[quote]iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
[/quote]Toutes les connexions établies sont autorisées.
[quote]###
iptables -A POSTROUTING -t nat -o $wan -j MASQUERADE
[/quote]Masquerading sur ce qui sort sur le WAN.
[quote]iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp --dport 53 -i $lan -o $wan -s $serveur2 -m state --state NEW -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports pop,smtp,dns -i $lan -o $wan -s $serveur1 -m state --state NEW -j ACCEPT
[/quote]serveur 1 et 2 peuvent interroger des DNS sur le WAN
De même pour pop, smtp et dns pour serveur1. Attention pas d’«s» à dport, douvble emploi pour dns.
[quote]#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 8080
[/quote]eth1 = lan donc. Interception des paquets et renvoit sur le port 8080 de la machine (Squid transparent je présume)
[quote]###
iptables -A INPUT -i $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
#interface local
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
[/quote]règles minimales usuelles
Puis ça concerne la machine elle même.
[quote]#SSH du lan vers FW
iptables -A INPUT -p tcp --dport ssh -i $lan -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o $lan -m state --state NEW -j ACCEPT
[/quote]Elle peut être gérée du LAN par ssh
[quote]#proxy 8080 sur FW
iptables -A INPUT -p tcp --dport 8080 -i $lan -m state --state NEW -j ACCEPT
[/quote]elle héberge un proxy pouvant être utilisée du LAN
[quote]#autoriser le FW interroger DNS
iptables -A OUTPUT -o $wan -p udp -dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -o $wan -p tcp -dport 53 -m state --state NEW -j ACCEPT
[/quote]elle peut interroger les DNS
[quote]#Autoriser le web
iptables -A OUTPUT -o $wan -p tcp -dport 80 -m state --state NEW -j ACCEPT
[/quote]et le Web
[quote]#
iptables -A FORWARD -i $wan -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $lan -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
[/quote]Vu plus haut donc, une fois les connexions initiées suivant les règles plus haut, les paquets peuvent traverser FW.
[quote]#
iptables -A INPUT -i $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $lan -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $wan -m state --state ESTABLISHED,RELATED -j ACCEPT
[/quote]Idem pour INPUT et OUTPUT.
Note: serveur2 ne peut qu’interroger les DNS plus les droits communs à tous, pas de https pour qui que ce soit.