saigone
Messages postés3Date d'inscriptionvendredi 22 mai 2009StatutMembreDernière intervention16 octobre 2009
-
16 oct. 2009 à 19:09
bonjour à tous.
j'ai configuré mon firewall au travers d'iptables. mais lorsque j'execute mon script j'ai le message d'erreur suivant
iptables : no chain/target/match by that name et je ne vois pas d'ou viens l'erreur car j'ai verifié tous les modules.
que faire???
voici le code:
#!/bin/sh
#regles par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#chaine pour les bad tcp paquets
iptables -N bad_tcp_paquets
#bad tcp paquets
iptables -A bad_tcp_paquets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
iptables -A bad_tcp_paquets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "NEW not syn:"
iptables -A bad_tcp_paquets -p tcp ! --syn -m state --state NEW -j DROP
#translation d'adresse pour tout ce qui sort vers l'internet
iptables -A POSTROUTING -t nat -o $INTERNET -j MASQUERADE
#on accepte tout ce qui sort et entre de l'interface de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTOUT -o lo -j ACCEPT
#on accepte les paquets entrants relatifs à des connexions deja etablies sur l'interface lan
iptables -A INPUT -i $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $LOCAL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#regles icmp
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT
iptables -A INPUT -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT
#on laisse passer le dns
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
#on laisse passer l'envoi de mail
iptables -A INPUT -i $LOCAL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#permettre a tout le lan d'acceder à internet avec la meme adresse.
iptables -t nat -A POSTROUTING -s $PRIVATE_NETWORK -j MASQUERADE
#on refuse les paquets invalides et les connexions entrantes.
iptables -A INPUT -i $INTERNET -m state --state NEW,INVALID -j bad_tcp_paquets
iptables -A OUTPUT -o $INTERNET -m state --state INVALID -j bad_tcp_paquets