Bonsoir,
je suis en train de mettre en place une passerelle sous linux (debian 5) pour mon reseau entreprise.
eth0 est l'interface locale sur le reseau 192.168.0.0
eth1 est l'interface connectée au net via la freebox (en mode routeur) sur le reseau 192.168.1.0 avec renvoi du port 80 sur eth1 (pour des raisons internes, la freebox doit être configurée en routeur)
tout le traffic sortant passe très bien mais impossible d'atteidre mon serveur web depuis l'extérieur (ip du serveur web : 192.168.0.2)
voici mon fichier de configuration iptables :
#!/bin/sh
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
######################################
# REMISE à ZERO des règles de filtrage
######################################
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
################################
#on logue tout ce qui est rejete
################################
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
#################################
#on logue tout ce qui est accepte
#################################
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
#####################################
# Mise en place des régles par défaut
#####################################
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#######################################
#on accepte tout ce qui se passe sur lo
#######################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
####################################################
#on accepte tout ce qui se passe sur le reseau local
####################################################
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
############################
#on accepte les tequetes DNS
############################
iptables -A INPUT -i eth1 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth1 --protocol udp --destination-port 53 -j ACCEPT
iptables -A INPUT -i eth1 --protocol tcp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o eth1 --protocol tcp --destination-port 53 -j ACCEPT
###########################################
#on accepte tout le traffic LAN -> internet
###########################################
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -o eth0 -i eth1 -j ACCEPT
iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE
#######################################################
#on autorise les connexion entrantes sur certains ports
#######################################################
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2
iptables -A FORWARD -i eth1 -o eth0 -p tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -p tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
###########
#protection
###########
#scanport
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#on accepte le ping max 2/seconde
iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp -m limit --limit 2/s -j ACCEPT
##########
#log rejet
##########
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
Je vous remercie de prendre quelques minutes pour la lecture de mon post.
Je suis presque au bout de ma configuration et la j'avoue que je bloque. Votre me sera précieuse.
Julien
Configuration: Poste :
Windows XP
Internet Explorer 7.0
Serveur passerelle :
Debian 5
Basculer entre les fenetres sous vista
