iptables

[romeo]

je souhaite bloquer tout le trafic entre carte wan et la carte lan de mon serveur : <BR>j'ai essaye : <BR>iptables -i eth0 -o eth1 -j DROP <BR> <BR>et j'obtiens : <BR>iptables v1.2.6a: no command specified <BR>Try `iptables -h' or 'iptables --help' for more information. <BR> <BR> <BR>j'ai essaye ensuite, j'avoue sans trop savoir : <BR>iptables -A INPUT -i eth0 -o eth1 -j DROP <BR> <BR>j'obtiens : <BR>iptables v1.2.6a: Can't use -o with INPUT <BR> <BR>QQn a une idee ??

[elbalboes]

d'abord une règle netfilter à la structure : iptables <-t table> <-A chaîne> <élément de comparaison> <-j action> <BR> <BR>Netfilter est un caneva dans la pile réseau qui intérragit avec celle-ci grace a des points d'ancrage (hook)... <BR> <BR>La chaine INPUT ne peut pas avoir d'élément de comparaison basé sur -o <interface> (c'est du à sa position dans la structure netfilter.... c pas simple à expliquer en 3 lignes....) <BR> <BR>Pour empêcher tes interface Wan et lan de communiquer : <BR>si eth0 est ton wan et eth1 le lan: <BR>c'est la chaîne forward car il s'agit de traversant le firewall: <BR>iptables -A FORWARD -i eth0 -o eth1 -j DROP <BR>iptables -A FORWARD -i eth1 -o eth0 -j DROP <BR> <BR> <BR>Voila

[romeo]

ok.ca a l'air d'etre passe. <BR> <BR>je suppose qu'il faut relancer certains services ?

[elbalboes]

non il faut flusher la table filter (iptables -F) et réintroduire les règles (le sript).

[romeo]

je suis un peu perdu. <BR> <BR>j'ai donc fait les 2 commandes pour bloquer le trafic entre les 2 cartes. <BR> <BR>ensuite, je dois donc faire les commandes : <BR>iptables -F <BR> <BR>tu veux parler de quel script ?

[elbalboes]

non d'abord tu fais un flush et puis tu inséres les commandes... Le flush est la pour nettoyer la talbe... des règle précedement enregistrée

[gwerlas]

Le script dont elbalboes parle est le script de lancement des règles iptables qui se lance au démarrage. <BR> <BR>Enfin, je suppose que tu as créer un script de démarrage qui défini tes règles de filtrage, sinon, à chaque démarrage tu devra te coltiner les règles à taper (pas pratique. Donc : <BR> <BR>iptables -F # Pour flusher <BR>/etc/rc.d/init.d/fichiers_comportant_mon_script_iptable # normalement il se lance au boot de ta machine <BR> <BR>Par exemple chez moi c'est : <BR>/etc/init.d/iptables <BR> <BR>Pour une Mandrake ou une RedHat : <BR>/etc/rc.d/init.d/iptable # en sachant que les règles sont placées dans : <BR>/etc/sysconfig/iptable # si mes souvenirs sont bons <IMG SRC="images/smiles/icon_wink.gif">

[romeo]

voici le debut de mon script : <BR> <BR>############### Config iptables ##################### <BR>#!/bin/sh <BR> <BR>## Information sur le réseau. <BR>#INTERNALIF="eth1" # carte donnant sur le réseau interne. <BR>#INTERNALNET="xxx.xxx.xxx.xxx/24" # IP Réseau Interne. <BR>#INTERNALBCAST="xxx.xxx.xxx.xxx" # IP Broadcast. <BR>"EXTERNALIF="eth0" #carte donnant sur l'extérieur. <BR>"EXTERNALIP="xxx.xxx.xxx.xxx"# Adresse IP externe nécessaire en cas de DNAT <BR> <BR>## Suppression de toutes les règles: <BR>iptables -F INPUT # règles sur les paquets entrants <BR>iptables -F OUTPUT # règles sur les paquets sortants <BR>iptables -F FORWARD # règles sur le Forwarding/masquerading <BR>iptables -t nat -F # règles sur le Nat <BR> <BR> <BR> <BR>a l'execution, il me jette, me disant: <BR>Application de iptables aux règles de pare-feu :Bad argument `iptables' <BR> <BR> <BR>qqn aurait une idee ? en ligne de commande, ca passe tres bien.