Je recherche une règle particulière.
Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que
je contacte depuis l'Internet)
--
Merci
Jérôme
Merci de répondre sur le groupe de nouvelles
Adresse anti spam
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
Je recherche une règle particulière. Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou l'adresse source.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter. D'autre part je doute que ces seules règles suffisent pour le FTP, rien n'est prévu pour les connexions de données.
Salut,
Je recherche une règle particulière.
Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que
je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le
préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou
l'adresse source.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le
suivi de connexion (-m state) pour les accepter. D'autre part je doute
que ces seules règles suffisent pour le FTP, rien n'est prévu pour les
connexions de données.
Je recherche une règle particulière. Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou l'adresse source.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter. D'autre part je doute que ces seules règles suffisent pour le FTP, rien n'est prévu pour les connexions de données.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter. Est-il possible de me donner l'exemple?
Merci pour les réponse
"Pascal Hambourg" a écrit dans le message de news:e2d2bn$j5b$
Salut,
Je recherche une règle particulière. Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que
je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou l'adresse source.
D'autre part je doute
que ces seules règles suffisent pour le FTP, rien n'est prévu pour les connexions de données.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le
suivi de connexion (-m state) pour les accepter.
Est-il possible de me donner l'exemple?
Merci pour les réponse
"Pascal Hambourg" <boite-a-spam@plouf.fr.eu.org> a écrit dans le message de
news:e2d2bn$j5b$1@biggoron.nerim.net...
Salut,
Je recherche une règle particulière.
Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN
(Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN
iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur
(que
je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le
préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou
l'adresse source.
D'autre part je doute
que ces seules règles suffisent pour le FTP, rien n'est prévu pour les
connexions de données.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter. Est-il possible de me donner l'exemple?
Merci pour les réponse
"Pascal Hambourg" a écrit dans le message de news:e2d2bn$j5b$
Salut,
Je recherche une règle particulière. Pour le moment j'utilise celle là ci dessous:
# ------Règles du Fw du réseau WAN (Eth1 ) vers les réseaux LAN (Eth1)----
Il doit y avoir un défaut, je vois la même interface eth1 en WAN et LAN.
# On autorise les requetes http venant de l'Internet (Eth0) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 80 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 80 -j ACCEPT
# On autorise les requetes ftp venant de l'Internet ( Eth0 ) vers le LAN iptables -A FORWARD -p tcp -i eth0 -o eth1 --dport 21 -j ACCEPT iptables -A FORWARD -p tcp -i eth1 -o eth0 --sport 21 -j ACCEPT
Cela fonctionne bien mais j'aimerais spécifier l'adresse IP du serveur (que
je contacte depuis l'Internet)
C'est en effet préférable. L'option "-d <ip_dst>" permet de spécifier le préfixe ou l'adresse destination, et l'option "-s <ip_src> le préfixe ou l'adresse source.
D'autre part je doute
que ces seules règles suffisent pour le FTP, rien n'est prévu pour les connexions de données.
Pascal Hambourg
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter.
Est-il possible de me donner l'exemple?
Je crois que ce serait une mauvaise idée. Tel que je te vois parti, et ta question sur le proxy transparent va dans ce sens, tu reviendrais à chaque question triviale alors qu'il y a pléthore de documentation sur iptables, à commencer par sa page de manuel (man iptables), ainsi que les HOWTO et FAQ disponibles sur http://www.netfilter.org/documentation. La simple lecture de la page de manuel d'iptables t'aurait épargné de venir demander ici comment filtrer sur l'adresse source ou destination.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le
suivi de connexion (-m state) pour les accepter.
Est-il possible de me donner l'exemple?
Je crois que ce serait une mauvaise idée. Tel que je te vois parti, et
ta question sur le proxy transparent va dans ce sens, tu reviendrais à
chaque question triviale alors qu'il y a pléthore de documentation sur
iptables, à commencer par sa page de manuel (man iptables), ainsi que
les HOWTO et FAQ disponibles sur http://www.netfilter.org/documentation.
La simple lecture de la page de manuel d'iptables t'aurait épargné de
venir demander ici comment filtrer sur l'adresse source ou destination.
Concernant les paquets de réponse du serveur, il vaut mieux utiliser le suivi de connexion (-m state) pour les accepter.
Est-il possible de me donner l'exemple?
Je crois que ce serait une mauvaise idée. Tel que je te vois parti, et ta question sur le proxy transparent va dans ce sens, tu reviendrais à chaque question triviale alors qu'il y a pléthore de documentation sur iptables, à commencer par sa page de manuel (man iptables), ainsi que les HOWTO et FAQ disponibles sur http://www.netfilter.org/documentation. La simple lecture de la page de manuel d'iptables t'aurait épargné de venir demander ici comment filtrer sur l'adresse source ou destination.
