Intégration de Squid avec iptables
Fermé
thor-aie
Messages postés
12
Date d'inscription
mardi 18 septembre 2007
Statut
Membre
Dernière intervention
8 septembre 2009
-
8 sept. 2009 à 09:46
thor-aie Messages postés 12 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 8 septembre 2009 - 8 sept. 2009 à 14:14
thor-aie Messages postés 12 Date d'inscription mardi 18 septembre 2007 Statut Membre Dernière intervention 8 septembre 2009 - 8 sept. 2009 à 14:14
A voir également:
- Intégration de Squid avec iptables
- Ordinateur portable avec pavé numérique intégré 14 pouces - Guide
- Google maps waze integration - Accueil - Guide transports et cartes
- Openvpn iptables - Forum Linux / Unix
- Tv avec décodeur intégré comment ça marche - Forum TNT / Satellite / Réception
- Squid (logiciel) - Télécharger - Divers Utilitaires
4 réponses
Bonjour,
Je suis pas du tout un spécialiste d'iptables. Mais j'ai trouvé cette adresse interessante sur squid :
http://irp.nain-t.net/doku.php/220squid:start
Cordialement,
Je suis pas du tout un spécialiste d'iptables. Mais j'ai trouvé cette adresse interessante sur squid :
http://irp.nain-t.net/doku.php/220squid:start
Cordialement,
thor-aie
Messages postés
12
Date d'inscription
mardi 18 septembre 2007
Statut
Membre
Dernière intervention
8 septembre 2009
8 sept. 2009 à 11:38
8 sept. 2009 à 11:38
Oui mais ce tuto est fait pour installer Squid, pas pour l'intégrer dans un réseau en gérant les autres ports que le 80. Or mon Squid marche parfaitement (ayant suivi ce tuto d'ailleurs) et il me faut maintenant l'intégrer avec iptables, d'où mon post avec le script bash d'iptables.
Merci quand même ;)
Merci quand même ;)
J'ai quelques remarques :
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> Vous acceptez que des clients puissent rapatrier leur courriers POP en dehors du LAN. Par sécurité, il est préférable de définir les adresses IP des serveurs.
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> seul le serveur smtp local devrait avoir le droit de sortir. Le risque de SPAM n'est pas négligeable.
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> vous autorisez ftp, soit, mais pourquoi oublier https (443) et ssh (22) ?
# Resolution DNS pour les machines du LAN
iptables -A FORWARD -i $LAN -o $WAN -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 53 -j ACCEPT
=> Le DNS peut être une faille de sécurité (pishing). Il est préférable d'utiliser un DNS intranet (en forward) et de n'autoriser que celui-ci ou alors uniquement les DNS du FAI.
Comment gérez-vous IPv6 ?
Bon, ce ne sont là que quelques pistes... Comme j'ai signalé + haut, je ne suis pas un spécialiste.
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 110 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> Vous acceptez que des clients puissent rapatrier leur courriers POP en dehors du LAN. Par sécurité, il est préférable de définir les adresses IP des serveurs.
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 25 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> seul le serveur smtp local devrait avoir le droit de sortir. Le risque de SPAM n'est pas négligeable.
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
=> vous autorisez ftp, soit, mais pourquoi oublier https (443) et ssh (22) ?
# Resolution DNS pour les machines du LAN
iptables -A FORWARD -i $LAN -o $WAN -p udp --sport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -i $LAN -o $WAN -p tcp --dport 53 -j ACCEPT
=> Le DNS peut être une faille de sécurité (pishing). Il est préférable d'utiliser un DNS intranet (en forward) et de n'autoriser que celui-ci ou alors uniquement les DNS du FAI.
Comment gérez-vous IPv6 ?
Bon, ce ne sont là que quelques pistes... Comme j'ai signalé + haut, je ne suis pas un spécialiste.
thor-aie
Messages postés
12
Date d'inscription
mardi 18 septembre 2007
Statut
Membre
Dernière intervention
8 septembre 2009
8 sept. 2009 à 14:14
8 sept. 2009 à 14:14
Merci pour vos remarques.
Pour les règles dans le forward, ce ne sont que des ports mis à titre d'exemple pour l'instant car j'attends d'avoir un script qui tiend la route pour m'occuper de voir quels ports j'ouvre réellement pour passer vers le net.
Pour le DNS c'est sûr qu'il vaut mieux que je spécifie uniquement l'adresse IP du serveur DNS, je vais modifier cela.
Pour l'IPv6 je ne m'en suis pas préoccupé c'est sûr, vous auriez des pistes ?
Merci encore ;)
Pour les règles dans le forward, ce ne sont que des ports mis à titre d'exemple pour l'instant car j'attends d'avoir un script qui tiend la route pour m'occuper de voir quels ports j'ouvre réellement pour passer vers le net.
Pour le DNS c'est sûr qu'il vaut mieux que je spécifie uniquement l'adresse IP du serveur DNS, je vais modifier cela.
Pour l'IPv6 je ne m'en suis pas préoccupé c'est sûr, vous auriez des pistes ?
Merci encore ;)