Tom's Guide > Forum > Accès Internet & Réseaux > configurer un pare-feu avec linux(fedora ou debian)
configurer un pare-feu avec linux(fedora ou debian) - Accès Internet & Réseaux
TomsGuide.com : 800 000 inscrits répondent à toutes vos questions high-tech et informatique. Pour obtenir de l'aide, inscrivez-vous gratuitement !
Répondre
Mot :    Pseudo :           
 
thyte   18-09-2006 à 16:38:10

salut,
j'ai un probm de protection avec linux.
en fait, j'ai envie de mettre en place un reseau constitué de 3 sous reseau avec une dmz.
alors je veux que tous les sous reseaux accedent a la dmz et qu'il n' y ait pas de communication entre les autres sous reseaux.
mon pare feu fera aussi office de passrelle internet.

si quelqu'un a deja realisé une telle config qu' il m'aide car je ne maitrise pas encore linux.

merci

Répondre
Liens sponsorisés
Inscrivez-vous ou connectez-vous pour masquer ceci.
maith   18-09-2006 à 21:48:22
- 0 +

avant d'aborder la config iptables (rien de mechant), il faut déjà que tu regarde comment tu vas arranger tes réseaux
il y a plusieurs façon de faire, qui dépendent déjà du type de connection (as tu modem/box/routeur... pour le net ?)
du nombre de postes par sous réseau
du nombre de cartes réseaux que tu peux utiliser pour la passerelle
...

exemple :

le net arrive sur un routeur (FAIbox par exemple), on branche les postes de la DMZ dessus et la carte 1 de la passerelle linux
Les cartes B, C et D de la passerelle étant chacune reliée à un des sous réseaux
->table FORWARD : any vers A ok, le reste NON
->table OUTPUT : à définir
->table INPUT : à définir
->chaine NAT : masquerade de A vers B, C et D


Message édité par maith le 18-09-2006 à 22:25:45
Répondre à maith
thyte   21-09-2006 à 14:11:44
- 0 +

merci bien car tu me comprends.
la passerelle a 4 cartes reseaux. 1ere carte reliee au routeur:eth0(ip 10.x.x.x), 2e carte reliee a la dmz(eth2), 3e reliee au lan1(eth3) et enfin la 4e reliee au lan2(eth1)
le lan1 a 20 pcs(@ s/r:192.168.2.0), lan2 a 15 pcs(@ s/r:192.168.0.0), dmz ne comporte que les servrs mails et web(@ s/r192.168.1.0) joignables sur le Net. je ne dispose qu'une seule adresse publique qui est sur le router cote internet.

Répondre à thyte
maith   21-09-2006 à 19:19:19
- 0 +

J'ai pas testé, c'est très facilement améliorable, mais ça devrai fonctionner :

Code :
  1. #!/bin/bash
  3. echo "Règles IPTABLES"
  4. #Déclaration
  5. inet=eth0
  6. idmz=eth2
  7. ilan1=eth3
  8. ilan2=eth1
  9. #On vide les tables
  10. iptables -F
  11. iptables -t nat -F
  12. #On efface toutes les chaînes qui ne sont pas à defaut dans la table filter et nat
  13. iptables -X
  14. iptables -t nat -X
  15. #On bloque tout par défaut
  16. iptables -P INPUT DROP
  17. iptables -P OUTPUT DROP
  18. iptables -P FORWARD DROP
  19. #On accepte tout depuis loopback
  20. iptables -A INPUT -i lo -j ACCEPT
  21. iptables -A OUTPUT -o lo -j ACCEPT
  22. #On accepte ce qui entre dans la passerelle venant du local
  23. iptables -A INPUT -i $ilan1 -j ACCEPT
  24. iptables -A INPUT -i $ilan2 -j ACCEPT
  25. #On accepte ce qui sort de la passerelle vers le net et la dmz
  26. iptables -A OUTPUT -0 $inet -j ACCEPT
  27. iptables -A OUTPUT -0 $idmz -j ACCEPT
  28. #On active le routage
  29. #c'est pour une debian, ça dépend de ta distribution
  30. echo 1 > /proc/sys/net/ipv4/ip_forward
  31. iptables -A FORWARD -i $ilan1 -j ACCEPT
  32. iptables -A FORWARD -i $ilan2 -j ACCEPT
  33. iptables -A FORWARD -i $idmz -o $inet -j ACCEPT
  34. #On active le nat
  35. iptables -A POSTROUTING -t nat -o $inet -j MASQUERADE
  36. echo "Fin"


Message édité par maith le 21-09-2006 à 19:21:22
Répondre à maith
Créer un nouveau sujet Répondre
Tom's Guide > Forum > Accès Internet & Réseaux > configurer un pare-feu avec linux(fedora ou debian)
Aller à :

Il y a 1902 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.

Plan du forum
Forum Bestofmedia ©
2000-2009 Bestofmedia Group
Page générée en 0,207 secondes
Attention

Vous allez répondre sur un sujet resté inactif pendant plus de 6 mois.
Assurez-vous d'apporter des éléments nouveaux à la discussion avant de poursuivre.

Répondre Annuler
Liens