un conseil : avant de mettre en place ton dhcp !
fait le fonctionné avec des adresses statics, j’imagine que tu n’a pas 150 postes chez toi
et fait comme te dir Twistophe :
perso j’ai configurer mes cartes réseaux et ajouter quelques règles iptables et le tour est joué
[quote]# Nous vidons les chaînes :
iptables -F
Nous supprimons d’éventuelles chaînes personnelles :
iptables -X
Nous les faisons pointer par défaut sur DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Nous faisons de même avec toutes les autres tables,
à savoir “nat” et “mangle”, mais en les faisant pointer
par défaut sur ACCEPT. Ca ne pose pas de problèmes
puisque tout est bloqué au niveau “filter”
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
#localhost et eth0 sont autorisé en entrée et en sortie
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
translation d’adresse pour tout ce qui transfert la passerelle
restreindre le NAT à une plage IP du réseau local
#iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.0.0 -o eth1 -j MASQUERADE
#toutes nouvelles connexion etablie et associées provenant d’eth0 peuve sortir sur eth1
#toutes connexion etablies et associées à eth1 peuvent aller vers eth0
iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
#autorisation des requêtes DNS sur le port udp 53
iptables -A OUTPUT -o eth1 -p udp --sport 1024: --dport 53 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth1 -p udp --sport 53 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
#autorisation des requêtes smtp sur le port 25 de smtp.wanadoo.fr
iptables -A OUTPUT -o eth1 -p tcp --sport 1024: -d smtp.wanadoo.fr --dport 25 -m state --state ! INVALID -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -s smtp.wanadoo.fr --sport 25 --dport 1024: -m state --state RELATED,ESTABLISHED -j ACCEPT
#autorisation du pop sur eth1
iptables -A INPUT -p tcp --dport 110 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 110 -o eth1 -j ACCEPT
#autorisation imap sur eth1
iptables -A INPUT -p tcp --dport 143 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 143 -o eth1 -j ACCEPT
#autorisation http sur eth1
iptables -A INPUT -p tcp --dport 80 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 80 -o eth1 -j ACCEPT
#autorisation https sur eth1
iptables -A INPUT -p tcp --dport 443 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 443 -o eth1 -j ACCEPT
#autorisation ftp sur eth1
iptables -A INPUT -p tcp --dport 21 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -o eth1 -j ACCEPT
#autoriser le ssh du net
iptables -A INPUT -p tcp --dport ssh -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport ssh -o eth1 -j ACCEPT
#autorisation terminal serveur
iptables -A INPUT -p tcp --dport 3389 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3389 -o eth1 -j ACCEPT
#autorisation vnc
iptables -A INPUT -p tcp --dport 5900 -i eth1 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 5900 -o eth1 -j ACCEPT
#autorise ICMP pour smtp , DNS ou ping …
iptables -A INPUT -p icmp -i eth1 -j ACCEPT
iptables -A OUTPUT -p icmp -o eth1 -j ACCEPT
[/quote]
et hop le tour est joué