Configuration Iptable / Mandriva [Résolu/Fermé]

Signaler
-
 fredericb -
Bonjour,

J'aurai bien voulu savoir le non du fichier qui contien les régles de iptable ?

Merci

19 réponses

Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
voici un exemple sous Debian etc init d#8
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
Salut,

tape
 iptables-save
pour voir les règles iptables
Merci pour ta réponse

je connais cette commande mais j'aimerai savoir si il existe un fichier contenant les règles et également savoir ou il est..
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
C'est toi qui dois créer le fichier (script avec les règles)
Ca se passe comment pour mettre en place ce fichier (pas le contenu) mais l'installer dans le systeme ?
Messages postés
392
Date d'inscription
dimanche 30 septembre 2007
Statut
Membre
Dernière intervention
24 février 2012
39
il faut d'abord installer iptables, puis créer les règles !
Pour l'installation urpmi est ton ami !
Messages postés
392
Date d'inscription
dimanche 30 septembre 2007
Statut
Membre
Dernière intervention
24 février 2012
39
encore un peu de lecture: iptables
" encore un peu de lecture: iptables " posté par trucker38

Je vais tester cette solution que je trouve claire.

Je dis quoi par la suite ...
"update-rc.d -f start 99 2 3 4 5 iptables "

Cette commande est utilisée sous debian mais sous la mandriva 2008 il me met :

[root@SRV001 ~]# update-rc.d -f start 99 2 3 4 5 iptables
bash: update-rc.d: command not found

Quel est la commande sous mandriva 2008 qui permettrai de faire le la meme chose ?
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
sous mandriva il faut utiliser la commande chkconfig
regarde man chkconfig
Messages postés
392
Date d'inscription
dimanche 30 septembre 2007
Statut
Membre
Dernière intervention
24 février 2012
39
chkconfig

EDIT: j'ai enlevé ma bétise !
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
NON
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
chkconfig --add iptables 
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
regarde ici pour chkconfig
Juste pour voir si j'ai bien compris le fonctionnement de la commande :

Est ce que cette commande :

"chkconfig --level 99 2 3 4 5 iptables on" sous mandriva

correspond à :

"update-rc.d -f start 99 2 3 4 5 iptables" sous debian
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
NON

regarde mes messages 13 et 14
j'ai essayer de l'ajouter :

[root@SRV001 ~]# chkconfig --add iptables
le service iptables ne prend pas en charge chkconfig
Messages postés
21331
Date d'inscription
jeudi 4 novembre 2004
Statut
Modérateur, Contributeur sécurité
Dernière intervention
30 octobre 2019
3 542
pas grave
en fait chkconfig crée les liens symboliques
tu peux le faire à la main, regarde le lien que je t'ai donné dans mon message 14
Merci a tous pour votre aide.

J'ai reussis a faire ce que je souhaitais.

Ma méthode :

1. Installation de iptables : "urpmi iptables"
2. Modification du fichier : "/etc/init.d/iptables" (ligne 126)


Après installation :
========================
case "$1" in
start)
check
start
;;

stop)
stop
;;
========================
Après modification:
========================
case "$1" in
start)
check
echo "Activation des règles du firewall"
/etc/iptables_start
start
;;

stop)
stop
;;
========================

3. Inscriptions des régles dans mon fichier : "/etc/iptables_start"


========================
#! /bin/sh
#
# Description: Activation du firewall netfilter/iptables
#

# Nous vidons toutes les chaines ###############################################################################################################
iptables -F

# Nous supprimons les chaines non standards ####################################################################################################
iptables -X


# Régles par Defaut ############################################################################################################################
# Rien ne rentre, rien ne sort
echo
echo "- Rien ne rentre, rien ne sort"
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Translation d'adresse pour tout ce qui sort vers l'internet ##################################################################################
echo "- Translation d'adresse pour tout ce qui sort vers l'internet"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Ouverture pour le serveur web ################################################################################################################
echo "- Ouverture pour le serveur web sur le WAN"
iptables -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 443 -j ACCEPT

echo "- Ouverture pour le serveur web sur le LAN"
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

# La machine locale est sure ###################################################################################################################
echo "- La machine locale est sure"
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


# Resolution DNS pour les machines du LAN ######################################################################################################
echo "- Resolution DNS pour les machines du LAN"
iptables -A FORWARD -i eth1 -o eth0 --protocol udp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 --protocol udp --destination-port 53 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 --protocol tcp --source-port 53 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 --protocol tcp --destination-port 53 -j ACCEPT

# connexions Firewall-Internet (www) ###########################################################################################################
echo "- connexions Firewall-Internet (www)"
iptables -A OUTPUT -p tcp --dport 80 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 443 -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

# connexions LAN-Internet (www) ################################################################################################################
echo "- connexions LAN-Internet (www)"
echo " - Internet"
echo " - POP"
echo " - SMTP"
echo " - FTP"

# Internet LAN => WAN
iptables -A FORWARD -p tcp --dport 80 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Messagerie LAN => WAN
iptables -A FORWARD -p tcp --dport 25 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 995 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 995 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Clients FTP
iptables -A FORWARD -p tcp --dport 21 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --dport 21 -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p udp --sport 21 -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Fin du fichier
==============================

4. Placer les droits : "chmod -v 0700 /etc/iptables_start" et "chmod -v 0700 /etc/init.d/iptables"
5. Lancement du service : "/etc/init.d/iptables start"

Le tout marche à merveille.
Il ne reste plus qu'a paufiner les régles.

Ceci permet de:

- On sait pas surfer sur la passerelle
- Un LAN à accès à internet avec ftp et messagerie pop et smtp via la passerelle linux.
- Un serveur Web accessible sur le WAN et le LAN.
- Le ping est desactivé

Petite astuce pour activer l'ip forwarding au demarrage de l'ordinateur :

ajouter "NETWORKING=yes" dans le fichier "/etc/sysconfig/network"

///Manipulation effectuée avec Mandriva Linux 2008 Free\\\