Différences entre les versions de « Iptables »
De BlaxWiki
Aller à la navigationAller à la recherche| (Une version intermédiaire par le même utilisateur non affichée) | |||
| Ligne 18 : | Ligne 18 : | ||
Cette [https://{{SERVERNAME}}/BENPERSO/doc-manuel/system/software/iptables_tag_1.0-Fr.pdf doc] est tirée de http://www.rd.cri74.org | Cette [https://{{SERVERNAME}}/BENPERSO/doc-manuel/system/software/iptables_tag_1.0-Fr.pdf doc] est tirée de http://www.rd.cri74.org | ||
=== Nat === | === Nat & FW=== | ||
S'assurer que le module iptables_nat est bien chargé . | '''S'assurer que le module iptables_nat est bien chargé & que l'ip forward est activé (echo 1 > /proc/sys/net/ipv4/ip_forward)'''. | ||
On est ici dans le cas d'un firewall linux qui va faire du nat pour un serveur. Au niveau adressage ip | |||
<pre> | <pre> | ||
# Firewall | |||
Ip back admin : 10.42.30.129 | |||
Ip front (dans le meme subnet que le serveur naté) : 10.42.30.147 (10.42.30.144/28) | |||
Ip publique (pour le nat ) : 217.174.216.9 | |||
# Serveur naté | |||
Ip back admin : 10.42.30.113 | |||
Ip front : 10.42.30.145 (10.42.30.144/28) | |||
</pre> | |||
<pre> | |||
* regles pour les translations ip privees <---------> ip publiques | * regles pour les translations ip privees <---------> ip publiques | ||
| Ligne 36 : | Ligne 49 : | ||
Pour autoriser une machine en ip privée à utiliser l'autre machine comme gateway et ainsi pouvoir sortir : echo 1 > /proc/sys/net/ipv4/ip_forward | Pour autoriser une machine en ip privée à utiliser l'autre machine comme gateway et ainsi pouvoir sortir : echo 1 > /proc/sys/net/ipv4/ip_forward | ||
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx (où xxx.xxx.xxx.xxx est l'ip publique de la machine) | iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx (où xxx.xxx.xxx.xxx est l'ip publique de la machine) | ||
</pre> | </pre> | ||
| Ligne 41 : | Ligne 57 : | ||
Pour le ftp le modules "nf_conntrack_ftp" doit être chargé dans /etc/sysconfig/iptables-config (IPTABLES_MODULES="nf_conntrack_ftp"), il faut aussi mettre ajouter dans /etc/rc.modules | Pour le ftp le modules "nf_conntrack_ftp" doit être chargé dans /etc/sysconfig/iptables-config (IPTABLES_MODULES="nf_conntrack_ftp"), il faut aussi mettre ajouter dans /etc/rc.modules | ||
modprobe nf_conntrack_ftp & modprobe nf_nat_ftp | modprobe nf_conntrack_ftp & modprobe nf_nat_ftp | ||
==== Nat & sortie sur | |||
{{{ | |||
}}} | |||
[[Catégorie:Software]] | [[Catégorie:Software]] | ||
Version actuelle datée du 12 février 2014 à 16:37
Tutorial très complet (pris sur http://www.linux-france.org/prj/inetdoc/telechargement/iptables-tutorial.pdf)
Bridge[modifier]
Règles pour filtrer les paquets à travers un linux en bridge
-A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state NEW -m limit --limit 50/s --limit-burst 100 -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp ! --syn -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p icmp -j ACCEPT -A FORWARD -m physdev --physdev-in eth0 -d 212.43.220.38 -p tcp --dport 20 -j ACCEPT
Marquage[modifier]
Cette doc est tirée de http://www.rd.cri74.org
Nat & FW[modifier]
S'assurer que le module iptables_nat est bien chargé & que l'ip forward est activé (echo 1 > /proc/sys/net/ipv4/ip_forward).
On est ici dans le cas d'un firewall linux qui va faire du nat pour un serveur. Au niveau adressage ip
# Firewall Ip back admin : 10.42.30.129 Ip front (dans le meme subnet que le serveur naté) : 10.42.30.147 (10.42.30.144/28) Ip publique (pour le nat ) : 217.174.216.9 # Serveur naté Ip back admin : 10.42.30.113 Ip front : 10.42.30.145 (10.42.30.144/28)
* regles pour les translations ip privees <---------> ip publiques -A PREROUTING -d 212.43.236.228 -p tcp -j DNAT --to-destination 192.168.1.8 -A PREROUTING -d 212.43.236.228 -p udp -j DNAT --to-destination 192.168.1.8 -A POSTROUTING -s 192.168.1.8 -j SNAT --to-source 212.43.236.228 -A PREROUTING -d 212.43.236.229 -p tcp -j DNAT --to-destination 192.168.1.9 -A PREROUTING -d 212.43.236.229 -p udp -j DNAT --to-destination 192.168.1.9 -A POSTROUTING -s 192.168.1.9 -j SNAT --to-source 212.43.236.229 Pour autoriser une machine en ip privée à utiliser l'autre machine comme gateway et ainsi pouvoir sortir : echo 1 > /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.xxx (où xxx.xxx.xxx.xxx est l'ip publique de la machine)
Ftp[modifier]
Pour le ftp le modules "nf_conntrack_ftp" doit être chargé dans /etc/sysconfig/iptables-config (IPTABLES_MODULES="nf_conntrack_ftp"), il faut aussi mettre ajouter dans /etc/rc.modules modprobe nf_conntrack_ftp & modprobe nf_nat_ftp
==== Nat & sortie sur
{{{
}}}
