chiaze
Messages postés12Date d'inscriptionmardi 10 février 2009StatutMembreDernière intervention15 août 2009
-
22 avril 2009 à 23:28
Bonsoir,
Je voudrais réaliser un routeur filtrant à l'aide d'une machine tournant sous Linux, avec mise en place d'une DMZ.
J'ai créé un fichier, je lui ai donné des droits d'exécution, et j'y ai écrit ceci (ce qui est entre parenthèses ce sont mes préoccupations):
J'utilise la version 1.3.5 de iptables (comment la mettre à jour?)
eth0 est l'interface connectée au réseau externe
eth1 est l'interface connectée au réseau interne(192.168.1.0/24)
DMZ (10.0.0.0/8)
Début_fichier
#!/bin/sh
#
# config de base
#
# Vider les tables actuelles
iptables -t filter -F
iptables -t filter -X
echo - Vidage : [OK]
# Initialization de la table NAT
#
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT (est-ce équivalent à MASQUERADE? parceque MASQUERADE ne prend pas)
iptables -t nat -P OUTPUT ACCEPT
echo - Initialisation de la table NAT : [OK]
# Ne pas casser les connexions etablies
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
echo - Ne pas casser les connexions établies : [OK]
# Interdire tout par défaut
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
echo - Interdire tout par défaut : [OK]
#Autoriser toutes les connexions venant du routeur
iptables -A OUTPUT -o eth0 -m state --state ! INVALID -j ACCEPT
echo - Autoriser toutes les connexions venant du routeur : [OK]
# Interdire toute connexion de la DMZ vers l'extérieur
iptables -t filter -I (est-ce que ça pose un problème au lieu de "-A"?) FORWARD -p ALL -s 10.0.0.0/8 -m state --state NEW -j DROP
iptables -t filter -I INPUT -p ALL -s 10.0.0.0/8 -m state --state NEW -j DROP
echo - Interdire toute connexion de la DMZ vers l'extérieur : [OK]
# Spoofing
iptables -N SPOOFED
iptables -A SPOOFED -s 127.0.0.0/8 -j DROP
iptables -A SPOOFED -s 169.254.0.0/12 -j DROP
iptables -A SPOOFED -s 172.16.0.0/12 -j DROP
iptables -A SPOOFED -s 192.168.0.0/16 -j DROP
iptables -A SPOOFED -s 10.0.0.0/8 -j DROP
echo - Bloquer le Spoofing : [OK]
Fin_fichier
Pouvez-vous m'aider à corriger mes erreurs et à le rendre meilleur?
Excusez pour le désordre.
De plus, comment configurer une interface en DHCP?
J'ai 2 cartes réseau mais une seule se voit (eth0), l'autre par contre s'appelle sit0. Pourquoi est-ce que cette dernière ne s'appelle pas eth1? Comment y rémédier?
Merci.