Je pensais utliser le fichier /etc/ppp/ip-up (j'ai rajouté à la fin de ce fichier une ligne pour relancer mon script) mais celui-ci ne s'éxécute jamais.

Essaie plutot de creer un fichier /etc/ppp/ip-up.local avec cette ligne et de le rendre executable avec "chmod +x /etc/ppp/ip-up.local". Je crois si ce script existe c'est execute au bon moment (regarde le fichier ip-up en detail pour comprendre ca). Fais aussi attention de mettre le chemin absolu pour ton script firewall.

-----------
Apart ca je crois ton script firewall est trop restrictive, c.-a-d. il met de regles ou ca marche uniquement avec un numero IP specifique sur ton device reseau (ppp0 dans ton cas) pour les regles input et output. Je dois avouer que je n'ai jamais compris pourquoi c'est necessaire ou ca fait une difference. Si un paquet reseau arrive sur ton pc c'est parce que c'est adresse au numero IP de ton pc. Si le numero IP est different ca n'arrive de toute facon pas a ton pc. Donc une regle supplementaire rejetant de paquets avec d'autres adresses que ton numero IP parrait inutile. Il faudrait avoir un scenario bizarre de IP-spoofing et quelqu'un mechant ayant un acces root sur ton pc et meme avec ca je ne comprends pas comment une telle regle pourrait faire la difference. Peut-etre je me trompe et quelqu'un pourrait m'eclairer la dessus.
Bien-entendu ceci n'a rien a avoir avec un filtrage eventuel pour de numero IPs expediteurs (venant d'autres pcs). Ca c'est toujours possible comme on veut! Pour le fonctionnement pratique du firewall c'est ca qui compte.

Bref, ma conclusion est pour de besoins pratiques on peut enlever cette restriction dans le script firewall sans reduire l'efficacite de celui ci ou meme modifier quoi que ce soit dans sans fonctionnement.
En principe tu peux editer ton script et remplacer la partie ou il determine ton numero IP (avec ifconfig etc.) et simplement fournir

0.0.0.0/0

EXTIP=0.0.0.0/0

As-tu déjà mis en pratique cette solution ? J'ai un peu de mal à comprendre ce que ça donnerait d'appliquer les règles (normalement écrites pour l'adresse IP de ppp0) à l'adresse IP 0.0.0.0/0


Oui tout a fait! J'ai utilise le script dont j'ai donne le lien ci-dessus. Au debut je le faisait avec une connection Free Non-degroupe donc, un changement du numero par DHCP toutes les 24 heures. Donc, j'ai edite le script pour enlever la restriction pour le numero IP de mon device reseau exterieur.
Ca a ete un peu complique et en effet de mettre 0.0.0.0/0 (ce n'est rien d'autre qu'un joker pour tous les numeros IP) pour EXTIP est plus facile et ca a le meme effet. Ce n'est qu'une facon de faire simple pour eviter de trop modifier le script, rien de plus.
Cependant il reste toujours une restriction pour le nom du device lui meme et ca suffit completement (un nom comme ppp0 pour toi ou eth1 pour moi). J'ai teste mon firewall sur un site comme ici:
https://grc.com/x/ne.dll?bh0bkyd2
et tout est stealth et bien protege. Je cherche toujours a comprendre pour quoi ils mettent cette restriction.

Précision : ce firewall est placé entre un réseau local et Intenet. Il fait du NAT et sert de cache DNS (pour le web) et de DNS primaire pour l'intranet (réseau local d'une dizaine de poste sur un switch).

Le script que j'utilise fait exactement ca (hors le serveur DNS) et entre reseau local et le pc routeur c'est bien ouvert. De toute facon ici ca marche avec les numero IPs local de genre 192.168.0.xxx et pour les regles de filtrage a l'interieur du sous-reseau c'est plus facile (si on veut en mettre).

Est-ce que cette modification peut faire disfonctinner mon firewall ?

A mon avis clairement non. Tu n'as qu'a essayer. Moi je faisait le partage vers un pc derrier et je n'avais jamais le moindre probleme (toujours avec le script dont j'ai donne le lien).

Bon, j'ai testé la solution.

Quand je déconnecte ma ligne adsl et la reconnecte je n'ai plus la résolution des noms de domaines internet. Cela vient du paramètrage de mon firewall, comme je l'utilise en cache DNS c'est lui qui questionne les serveurs de mon FAI et lui uniquement (par son interface ppp0). Donc j'ai les paquets venant de son interface ppp0 qui sont bloqués quelque soit son IP (bloqué par la dernière règle du firewall : bloque tout de ANY à destination de ANY). En tant normal ma première règle est autorise les requête DNS de MonFirewall à destination de ANY. Cette règle n'est plus reconnu quand je met en place la solution.

Sinon le DNS de l'intranet fonctionne sans problème.

Encore merci pour ton aide.

▀▄▀▄▀▄

(bloqué par la dernière règle du firewall : bloque tout de ANY à destination de ANY). En tant normal ma première règle est autorise les requête DNS de MonFirewall à destination de ANY. Cette règle n'est plus reconnu quand je met en place la solution.

Tu peux faire un copier-coller de cette regle ?
(avant et apres modifications)
Ca me parrait bizarre, ca ne devrait pas arriver! Je ne comprends pas tres bien ca.

Bonjour,

Désolé de répondre si tard.

Voici la règle qui ne fonctionne plus après modification :

# Rule 4(global)
#
echo "Rule 4(global)"
#
test -n "$i_ppp0" && $IPTABLES -A OUTPUT  -s $i_ppp0  -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 192.168.0.2  -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 10.0.0.10  -m state --state NEW  -j ACCEPT

getaddr ppp0  i_ppp0
echo $i_ppp0
i_ppp0="0.0.0.0"
echo $i_ppp0

▀▄▀▄▀▄

D'abord ci-dessus j'ai mis:

0.0.0.0/0

getaddr ppp0  i_ppp0
echo $i_ppp0
i_ppp0="0.0.0.0/0"
echo $i_ppp0

Bonjour,

Quand j'initialise la variable i_ppp0 à "0.0.0.0/0" plus aucune règle n'est reconnue.

J'ai placé la commande echo $i_ppp0 avant le changement et après le changement afin de voire sous quel format était stocké l'adresse IP de l'interface ppp0. Le masque réseau n'est pas spécifié.

Au lancement du script s'affiche :

83.x.x.x
0.0.0.0
Activating firewall script generated Thu Apr 14
Rule 0(NAT)
Rule 1(NAT)
Rule 2(NAT)
Rule 0(lo)
Rule 0(global)
Rule 1(global)
Rule 2(global)
Rule 3(global)
Rule 4(global)
Rule 5(global)

▀▄▀▄▀▄

Quand j'initialise la variable i_ppp0 à "0.0.0.0/0" plus aucune règle n'est reconnue.
...
La première adresse qui s'affiche est celle de l'interface ppp0 avant changement du code. Il n'est pas spécifié de masque réseau "/x" à la fin de l'adresse. C'est pourquoi je pensais qu'il ne fallait pas le mettre.


C'est dommage, je suppose qu'il doit y avoir une regle REJECT qui utilise aussi cette variable et dans ce cas c'est trop restrictive. De facon general quand tu fais "0.0.0.0/0" (avec "-s ..." ou "-d ..." comme option d'iptables) c'est equivalent a ne pas mettre cette option, donc faire une regle qui s'appliquent pour tous les numeros IP. Si on suppose qu'il n'y a que de regles ACCEPT ca ouvre de choses, par contre avec une regle REJECT au mauvais endroit ca peux tout fermer.

Quand tu regardes apres avec la commande:

/sbin/iptables -L -v

# Rule 4(global)
#
echo "Rule 4(global)"
#
test -n "$i_ppp0" && $IPTABLES -A OUTPUT  -o ppp0  -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 192.168.0.2  -m state --state NEW  -j ACCEPT
$IPTABLES -A OUTPUT  -s 10.0.0.10  -m state --state NEW  -j ACCEP

Bonjour,

La modification que tu m'as donnés marche très bien. Me si l'adresse IP du firewall change les règles restent valides.

Pour les postes Windows ce sont uniquement les regles avec la chaine FORWARD qui s'appliquent. La chaine OUTPUT est uniquement pour ton pc linux. Je suppose avec ton script tu dois avoir de regles FORWARD assez restrictives pour bien controler ca.

Effectivement toutes les règles s'appliquant à mon réseau local sont de type FORWARD.

Encore merci pour ton aide, ça m'a permis de mieux comprendre comment fonctionne IPTABLES.

▀▄▀▄▀▄