Bonjour a tous,

voila j’ai un soucis de script firewall avec cette topographie

je sais la GW sur le routeur est a vire du schema

voici mon script je vais dire initial :

script firewall

function flush_fw {
iptables -t filter -X
iptables -t filter -F
iptables -t nat -X
iptables -t nat -F
}
function f_start {
flush_fw
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Ssh sur le FW sur le port 22

iptables -A INPUT -p tcp -i eth1 --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp -o eth1 --sport 22 -j ACCEPT

Activation du NAT

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

}

function f_stop {
flush_fw
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo " Firewall is stopped !!! "

}

function f_restart {
f_stop
f_start
}

function f_status {
iptables -t filter -L
iptables -t nat -L
echo "Statut du Firewall : "
}

case $1 in
start)
f_start
;;
stop)
f_stop
;;
restart)
f_restart
;;
status)
f_status
;;
*)
echo “Syntax error : /etc/init.d/firewall [start/stop/restart/status]”
;;
esac

une fois tout dropper , que dois je faire pour laisser “entrer” le net sur mon firewall ainsi que pour mon LAN ?
car je peine a trouver, j’ai déjà essayer moultes fois moultes règles iptables mais rien ne fait :’(

pour la resolution dns, comment dois je l’autoriser egalement via iptables sachant que le dns est celui de mon FAI

personne ne peut m’aider ?

je n’ai presque plus de cheveux a force de tirer dessus … help me lol

Me voilà!
Le OUTPUT à DROP est quand même un peu restrictif, non ?

iptables -t filter -P INPUT DROP iptables -t filter -P FORWARD DROP iptables -t filter -P OUTPUT ACCEPT

Il faut accepter les paquets qui viennent du LAN.

routeur avec NAT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -p icmp -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth1 -j ACCEPT iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Ton SSH sur l’interface externe:

Voilà, je crois que ça devrait le faire…
Enfin je ne suis pas le meilleur ici en ce qui concerne iptables, ça mérite confirmation…

je te remercie , je vais tester ca des que je serai chez moi

j’ai une autre question comment puis je faire pour que mon reseau en 192.168.1.0/24 puis communiquer avec mon firewall en 10.10.10.0/24 ? en faisant une route ? mais mon routeur ( ou tout est actif , parfeu etc… ) ne fera pas obstruction ?

je te remercie “lol”

ca marche nickel c’était tout bête en fait, enfin façon de parler