Accueil > Linux > Internet - Réseaux > iptables réseau
iptables réseau
Publié le 4 novembre 2006, dernière mise-à-jour le 30 mars 2024, 10 visites, visites totales.
eth1 est sur internet
eth0 sur le LAN
192.168.0.2 est l’adresse de l’autre ordi
# !/bin/sh
# # Script de démarrage qui lance l’interface réseau internet, # met en place un firewall basique et un partage de connexion # # Inspiré du script de Mjules_at_ifrance.com #
start()
# init du la périphérique internet (ici derriere un modem
ADSL ethernet, DHCP client)
/sbin/ifup eth1
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
# Acceptation de toutes les connexions en local (un process avec l’autre)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# PORT FORWARDING : # attention : on ne peut malheureusement pas mettre un nom de machine en destination, il faut mettre l’adresse IP. # exemple : on veut qu’un serveur HTTP installé sur une machine du réseau local soit visible depuis l’extérieur.
iptables -t nat -A PREROUTING -i eth1 -p tcp —dport 80 -j DNAT —to-destination 192.168.0.2:80
iptables -A FORWARD -p tcp -i eth1 —dport 80 -j ACCEPT
#création d’une nouvelle règle
iptables -N MAregle
#définition de la règle : accepter les nouvelles connexions ne venant pas de l’interface internet # et accepter toutes les connexions établies et reliées (ex : une demande de page HTML provoque l’ouverture # d’une connexion reliée pour acheminer cette page vers l’ordinateur)
iptables -A MAregle -m state —state NEW -i ! eth1 -j ACCEPT
iptables -A MAregle -m state —state ESTABLISHED,RELATED -j ACCEPT
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
#pour vlc
iptables -A INPUT -p udp —dport 1024:65535 -j ACCEPT
# activation du forwarding dans le noyau # mise en place du partage de connexion sur le réseau local
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
iptables et ssh
gérer le ssh
samedi 29 mars 2008, par bruno
interdire une adresse
iptables -I INPUT -s 212.146.105.94 -j DROP
bloque celui qui tente de se connecter plus de 4 fois en 60 sec en ssh
iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP
iptables -A INPUT -p tcp --dport ssh -m recent --set --name SSH
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
changer le port de ssh
/etc/ssh/sshd_config
Et changer la ligne port 22
interdire le log en root
/etc/ssh/sshd_config
PermitRootLogin no #changez yes en no
ports a ouvrir sont le 32400 en privé et le 8000 en publique
NON ESSAYÉ !
iptables -A INPUT -p tcp --dport 32400 --jump ACCEPT
iptables -I INPUT -s 127.0.0.1 -m tcp -p tcp -j ACCEPT
iptables -I OUTPUT -s 127.0.0.1 -m tcp -p tcp -j ACCEPT