Merci a tous pour votre aide.
J'ai reussis a faire ce que je souhaitais.
Ma méthode :
1. Installation de iptables : "urpmi iptables"
2. Modification du fichier : "/etc/init.d/iptables" (ligne 126)
Après installation :
========================
case "$1" in
start)
check
start
;;
stop)
stop
;;
========================
Après modification:
========================
case "$1" in
start)
check
echo "Activation des règles du firewall"
/etc/iptables_start
start
;;
stop)
stop
;;
========================
3. Inscriptions des régles dans mon fichier : "/etc/iptables_start"
========================
#! /bin/sh
#
# Description: Activation du firewall netfilter/iptables
#
# Nous vidons toutes les chaines ###############################################################################################################
iptables -F
# Nous supprimons les chaines non standards ####################################################################################################
iptables -X
# Régles par Defaut ############################################################################################################################
# Rien ne rentre, rien ne sort
echo
echo "- Rien ne rentre, rien ne sort"
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
# Translation d'adresse pour tout ce qui sort vers l'internet ##################################################################################
echo "- Translation d'adresse pour tout ce qui sort vers l'internet"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Ouverture pour le serveur web ################################################################################################################
echo "- Ouverture pour le serveur web sur le WAN"
iptables -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT
echo "- Ouverture pour le serveur web sur le LAN"
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
# La machine locale est sure ###################################################################################################################
echo "- La machine locale est sure"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Resolution DNS pour les machines du LAN ######################################################################################################
echo "- Resolution DNS pour les machines du LAN"
iptables -A FORWARD -i eth1 -o eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 --protocol udp --destination-port 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 --protocol tcp --destination-port 53 -j ACCEPT
# connexions Firewall-Internet (www) ###########################################################################################################
echo "- connexions Firewall-Internet (www)"
iptables -A OUTPUT -p tcp --dport 80 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
# connexions LAN-Internet (www) ################################################################################################################
echo "- connexions LAN-Internet (www)"
echo " - Internet"
echo " - POP"
echo " - SMTP"
echo " - FTP"
# Internet LAN => WAN
iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Messagerie LAN => WAN
iptables -A FORWARD -p tcp --dport 25 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 995 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Clients FTP
iptables -A FORWARD -p tcp --dport 21 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 21 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --sport 21 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Fin du fichier
==============================
4. Placer les droits : "chmod -v 0700 /etc/iptables_start" et "chmod -v 0700 /etc/init.d/iptables"
5. Lancement du service : "/etc/init.d/iptables start"
Le tout marche à merveille.
Il ne reste plus qu'a paufiner les régles.
Ceci permet de:
- On sait pas surfer sur la passerelle
- Un LAN à accès à internet avec ftp et messagerie pop et smtp via la passerelle linux.
- Un serveur Web accessible sur le WAN et le LAN.
- Le ping est desactivé
Petite astuce pour activer l'ip forwarding au demarrage de l'ordinateur :
ajouter "NETWORKING=yes" dans le fichier "/etc/sysconfig/network"
///Manipulation effectuée avec Mandriva Linux 2008 Free\\\
Comment configurer iptables
