pense-bête de bruno sanchiz

Accueil > Linux > Internet - Réseaux > iptables réseau

iptables réseau

Publié le 4 novembre 2006, dernière mise-à-jour le 30 mars 2024, 10 visites, visites totales.

eth1 est sur internet

eth0 sur le LAN

192.168.0.2 est l’adresse de l’autre ordi

# !/bin/sh

# # Script de démarrage qui lance l’interface réseau internet, # met en place un firewall basique et un partage de connexion # # Inspiré du script de Mjules_at_ifrance.com #

start()

# init du la périphérique internet (ici derriere un modem

ADSL ethernet, DHCP client)

/sbin/ifup eth1

# Dans cette partie, on met en place le firewall

#vidage des chaines

iptables -F

#destruction des chaines personnelles

iptables -X

#stratégies par défaut

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

#init des tables NAT et MANGLE (pas forcément nécessaire)

iptables -t nat -F

iptables -t nat -X

iptables -t nat -P PREROUTING ACCEPT

iptables -t nat -P POSTROUTING ACCEPT

iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -P PREROUTING ACCEPT

iptables -t mangle -P OUTPUT ACCEPT

# Acceptation de toutes les connexions en local (un process avec l’autre)

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT
# PORT FORWARDING : # attention : on ne peut malheureusement pas mettre un nom de machine en destination, il faut mettre l’adresse IP. # exemple : on veut qu’un serveur HTTP installé sur une machine du réseau local soit visible depuis l’extérieur.

iptables -t nat -A PREROUTING -i eth1 -p tcp —dport 80 -j DNAT —to-destination 192.168.0.2:80

iptables -A FORWARD -p tcp -i eth1 —dport 80 -j ACCEPT

#création d’une nouvelle règle

iptables -N MAregle

#définition de la règle : accepter les nouvelles connexions ne venant pas de l’interface internet # et accepter toutes les connexions établies et reliées (ex : une demande de page HTML provoque l’ouverture # d’une connexion reliée pour acheminer cette page vers l’ordinateur)

iptables -A MAregle -m state —state NEW -i ! eth1 -j ACCEPT

iptables -A MAregle -m state —state ESTABLISHED,RELATED -j ACCEPT

#application de la règle au partage de connexion

iptables -A INPUT -j MAregle

iptables -A FORWARD -j MAregle

#pour vlc
iptables -A INPUT -p udp —dport 1024:65535 -j ACCEPT

# activation du forwarding dans le noyau # mise en place du partage de connexion sur le réseau local

echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

iptables et ssh

gérer le ssh

samedi 29 mars 2008, par bruno

interdire une adresse

iptables -I INPUT -s 212.146.105.94 -j DROP

bloque celui qui tente de se connecter plus de 4 fois en 60 sec en ssh

iptables -A INPUT -p tcp --dport ssh -m recent --update --seconds 60 --hitcount 4 --name SSH -j DROP

iptables -A INPUT -p tcp --dport ssh -m recent --set --name SSH

iptables -A INPUT -p tcp --dport ssh -j ACCEPT

changer le port de ssh
/etc/ssh/sshd_config

Et changer la ligne port 22

interdire le log en root

/etc/ssh/sshd_config

PermitRootLogin no #changez yes en no

ports a ouvrir sont le 32400 en privé et le 8000 en publique

NON ESSAYÉ !

iptables -A INPUT -p tcp --dport 32400 --jump ACCEPT
iptables -I INPUT -s 127.0.0.1 -m tcp -p tcp -j ACCEPT
iptables -I OUTPUT -s 127.0.0.1 -m tcp -p tcp -j ACCEPT
[bruno sanchiz]