proxy transparent et ports divers

------=_Part_121668_2417366.1148114757844
Content-Type: text/plain; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,

2006/5/9, Erick FURCY <erick@furcy.net>:

Je sais qu'on peut mettre en place un proxy transparent pour les
requetes web :
$IPTABLES -t nat -A PREROUTING -i $eth0 -p tcp --dport 80 -j REDIRECT
--to-port 3128

Proxy transparent : squid + une règle de nat.
Cette règle redirige le trafic entrant sur l'interface eth0 (pourquoi $et h0
d'ailleur ?) à destination du port 80 vers le port 3128 de la même mach ine.
Donc apparement, vous avez un squid tu cette machine.
Cela ne bloque pas le traffic, à moins que squid ne le fasse.

Est-il possible de faire la même chose pour bloquer msn et le

téléchargement ????

Bon, une bonne politique quand on met en oeuvre un parefeu est de tout
bloquer et d'ouvrir uniquement les flux dont on a besoin. Dans votre cas, i l
convient tout d'abord de rajouter en début de script :

$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
$IPTABLES -t mangle -F

Pour supprimer la configuration de netfilter.

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

Pour interdire tout traffic.

Ensuite, il y a le traitement des chaines IPTABLES :

INPUT traite des paquets entrants sur le parefeu
OUTPUT traite des paquets sortant du parefeu
FORWARD traite du transport des paquets d'une interface à une autre.

Avec les commande que je vous ai indiqué, tout le traffic est interrompu.
Sans entrer dans le détail du contrôle des paquets invalides, du syn
flooding ... La mini configuration ci-dessous ne laisse passer que le
traffic HTTP en passant par un proxy situé sur la même machine. La patt e
internet (sur votre réseau local) est eth0 ; la patte externe (vers
Internet) est eth1.

$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --j REDIRECT
--to-port 3128
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 80 -j ACCEPT

Seul ce traffic fonctionnera. Pour autoriser le SMTP (si aucun relais smtp
n'est présent sur votre parefeu), il faut rajouter :

$IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -m state --state NEW
--syn -j ACCEPT

Bien sûr, il faudra aussi autoriser tout le trafic relatif au connexion
ouvertes à revenir :

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

Patrice.

--

* Powered by Linux-ubuntu with Thunderbird *

Linux user #345187

Pura Vida


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org

------=_Part_121668_2417366.1148114757844
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Content-Disposition: inline

Bonjour,<br><br><div><span class="gmail_quote">2006/5/9, Erick FURCY &lt; <a href="mailto:erick@furcy.net">erick@furcy.net</a>&gt;:</span><blockquo te class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204) ; margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Je sais qu'on peut mettre en place un proxy transparent pour les<br>requete s web :<br>$IPTABLES -t nat -A PREROUTING -i $eth0 -p tcp --dport 80 -j RED IRECT<br>--to-port 3128</blockquote><div><br>Proxy transparent : squid + un e règle de nat.
<br>Cette règle redirige le trafic entrant sur l'interface eth0 (pourquoi $eth0 d'ailleur ?) à destination du port 80 vers le port 3128 de la mê me machine.<br>Donc apparement, vous avez un squid tu cette machine.<br>Cel a ne bloque pas le traffic, à moins que squid ne le fasse.
<br></div><br><blockquote class="gmail_quote" style="border-left: 1px s olid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Est -il possible de faire la même chose pour bloquer msn et le<br>télécha rgement ????
</blockquote><div><br>Bon, une bonne politique quand on met en oeuvre un pa refeu est de tout bloquer et d'ouvrir uniquement les flux dont on a besoin. Dans votre cas, il convient tout d'abord de rajouter en début de script :
<br><br>$IPTABLES -F<br>$IPTABLES -X<br>$IPTABLES -Z<br>$IPTABLES -t nat -F <br>$IPTABLES -t mangle -F<br><br>Pour supprimer la configuration de netfil ter.<br><br>$IPTABLES -P INPUT DROP<br>$IPTABLES -P OUTPUT DROP<br>$IPTABLE S -P FORWARD DROP
<br><br>Pour interdire tout traffic.<br><br>Ensuite, il y a le traitement d es chaines IPTABLES :<br><br>INPUT traite des paquets entrants sur le paref eu<br>OUTPUT traite des paquets sortant du parefeu<br>FORWARD traite du tra nsport des paquets d'une interface à une autre.
<br><br>Avec les commande que je vous ai indiqué, tout le traffic est int errompu. Sans entrer dans le détail du contrôle des paquets invalides, du syn flooding ... La mini configuration ci-dessous ne laisse passer que l e traffic HTTP en passant par un proxy situé sur la même machine. La pa tte internet (sur votre réseau local) est eth0 ; la patte externe (vers I nternet) est eth1.
<br><br>$IPTABLES -A PREROUTING -t nat -i eth0 -p tcp --dport 80 --j REDIRE CT --to-port 3128<br>$IPTABLES -A INPUT -i lo -j ACCEPT<br>$IPTABLES -A INP UT -i eth0 -p tcp --dport 3128 -j ACCEPT<br>$IPTABLES -A OUTPUT -o lo -j AC CEPT
<br>$IPTABLES -A OUTPUT -o eth1 -p tcp --dport 80 -j ACCEPT<br><br>Seul ce traffic fonctionnera. Pour autoriser le SMTP (si aucun relais smtp n'est pr ésent sur votre parefeu), il faut rajouter :<br><br>$IPTABLES -A FORWARD -i eth0 -o eth1 -p tcp --dport 25 -m state --state NEW --syn -j ACCEPT
<br><br>Bien sûr, il faudra aussi autoriser tout le trafic relatif au con nexion ouvertes à revenir :<br><br>$IPTABLES -A INPUT -m state --state ES TABLISHED,RELATED -j ACCEPT<br>$IPTABLES -A INPUT -m state --state INVALID -j DROP
<br>$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>$ IPTABLES -A OUTPUT -m state --state INVALID -j DROP<br>$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br>$IPTABLES -A FORWARD -m state --state INVALID -j DROP
<br><br>Patrice.<br></div><br><blockquote class="gmail_quote" style="bo rder-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding -left: 1ex;">--<br>* Powered by&nbsp;&nbsp;Linux-ubuntu with Thunderbird *< br><br>Linux user #345187
<br><br>Pura Vida<br><br><br>--<br>Lisez la FAQ de la liste avant de poser une question :<br><a href="http://wiki.debian.net/?DebianFrench">http://w iki.debian.net/?DebianFrench</a><br>Vous pouvez aussi ajouter le mot ``spam '' dans vos champs &quot;From&quot; et
<br>&quot;Reply-To:&quot;<br><br>To UNSUBSCRIBE, email to <a href="mailto :debian-user-french-REQUEST@lists.debian.org">debian-user-french-REQUEST@li sts.debian.org</a><br>with a subject of &quot;unsubscribe&quot;. Trouble? C ontact
<a href="mailto:listmaster@lists.debian.org">listmaster@lists.debian.org< /a><br><br></blockquote></div><br>

------=_Part_121668_2417366.1148114757844--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org