[RESOLU] ouverture port Orange=> IPCOP

[unnilennium]

Bonjour à tous,

j'ai mis en place une architecture un peu particuliere qui mammenne à devoir avoir acces à IPCOP depuis l'interface orange sur les ports 81,445 et 222 depuis une seule machine serveur.

j'ai vu que plusieurs solutions sont envisageables:

1 utilsiation de BOT (block out trafic)
+ mise en place de toutes les regles qui vont bien

2 modification du fichier /etc/rc.d/rc.firewall ou du /etc/rc.d/rc.firewall.local
et ajout de regles iptables qui permettent l'acces à ces ports

Le problème c'est que BOt va trop en faire par rapport a ce que je desire, et que je ne suis pas du tout à l'aise avec iptables, meme aprés lecture des liens fournis dans le newbi kit: je ne vourdrais pas ouvrir un gouffre mais juste 3 ports depuis une seule machine vers l'ipcop afin d'acceder a l'interface de gestion et au ssh depuis cette machine.


Merci

[unnilennium]

bon je me lance, en proposant un règle pour autoriser cela, si quelqu'un pouvais me dire si ca correspond bien à ce que je veux faire et surtout si ca marche.

Code: Tout sélectionner

iptables -t filter -A INPUT -s 192.168.56.2 -i eth3 -p tcp --destination-port222 -j ACCEPT

iptables -t filter -A INPUT -s 192.168.56.2 -i eth3 -p tcp --destination-port 445 -j ACCEPT

iptables -t filter -A INPUT -s 192.168.56.2 -i eth3 -p tcp --destination-port 81 -j ACCEPT

ou 192.168.56.2 est l'ip de ma machine sur le orange
et eth3 correspond à l'interface reseau orange.

J'avais l'idée d'ajouter cela dans /etc/rc.d/rc.firewall.local.

J'ai bon ou fessée ??

[unnilennium]

les règles sont :

Code: Tout sélectionner


iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 445 -j ACCEPT

iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 81 -j ACCEPT

iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 222 -j ACCEPT


avec :
192.168.56.2 l'adresse du SME sur le reseau orange
eth3 l'interface reseau connectée à orange


reste plus qu'a les ajouter pour qu'elles restent aprés un redemarage:

ajouter cela dans /etc/rc.d/rc.firewall.local.

quelque part entre le "start" et le ";;"

Code: Tout sélectionner

start)


##ajout pour orange
/sbin/iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 445 -j ACCEPT

/sbin/iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 81 -j ACCEPT

/sbin/iptables -t filter -A INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 222 -j ACCEPT
##fin ajout pour orange

;;


et à ajouter ceci entre le "stop)" et ";;" (afin de ne pas vous retrouver avec des lignes supplementaires en cas de reload du fichier rc.firewall.local)

Code: Tout sélectionner

stop)


##ajout pour orange
/sbin/iptables -t filter -D INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 445 -j ACCEPT

/sbin/iptables -t filter -D INPUT -s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 81 -j ACCEPT

/sbin/iptables -t filter -D INPUT-s 192.168.56.2/255.255.255.255 -i eth3 -p tcp --destination-port 222 -j ACCEPT
##fin ajout pour orange

;;


à discuter si la règle peut eventuelement être mise dan sune chaine afin de ne pas être dans INPUT, ou a ecrire ces lignes pluto dans rc.firewall....