Règles iptables obscures

Support Debian
#1

Bonjour à tous Debiens et Debiennes :slightly_smiling:

Dans le cadre de mon stage, j’ai mis en place un serveur mandataire grâce à Squid et un filtrage de contenu avec DansGuardian. J’ai du écrire des règles iptables afin de rendre le proxy transparent et d’assurer une certaine sécurité. Cependant, il y a 2 règles que je trouve assez obscures, car sans elles, mes clients n’ont pas accès aux connexions en ftp et sur les sites sécurisés (https) alors que sur le proxy, j’y ait accès.

iptables -A FORWARD -i eth1 -o eth0 -p all -m state --state ! INVALID -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT

La première autorise tous les paquets à passer de eth1 (lan) en sortant par eth0 (wan).

La deuxième n’autorise que le passage des connexions initialisées par les clients du lan.

Pourriez vous me dire si ces règles sont correctes s’il vous plaît?

Merci.
Cordialement,
Hicham

#2

oui, ces règles sont correctes et, indépendament de comment ça fonctionne sur la partie http, pour les autres ports, ça compense la policy DROP par defaut que tu as dû mettre sur l’INPUT.
Quand un client envoie un paquet vers un serveur et qu’il arrive au routeur il est à priori bloqué par le DROP, mais la règle d’ACCEPT ! invalid le laisse passer.
Quand le serveur renvoie sa réponse au client, la règle en RELATED,ESTABLISHED, fait que ton routeur reconnait le paquet en retour comme correllé(=RELATED) à une transaction établie (=ESTABLISHED), et le laisse passer au lieu de le DROPer au moment de l’INPUT.

#3

Merci pour ta réponse rapide mattotop. J’ai bien mis en place une politique DROP par défaut puis j’ai défini mes propres règles en fonction de ce que je voulais faire. Ta confirmation me soulage grandement ! :slightly_smiling:

Bonne soirée à toutes et tous,
Cordialement,
Hicham