[LA-discussions] Demande d'avis sur un script de configuration iptables |
[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]
Bonsoir à tous. Je m'initie au maniement de iptables pour me configurer un routeur NAT. En fouillant sur le web et en recoupant deux ou trois tutoriels, j'ai obtenu le script ci-dessous. Il fonctionne mais me semble un peu basique, certains sites fournissent des scripts beaucoup plus longs, mais je ne me sens pas le courage de tenter de les comprendre. Donc je fais appel à vous, car je suis sûr que certains ont une meilleure connaissance que moi en sécurité réseau. Déjà, que pensez-vous de mon script ? Ensuite avez-vous des astuces pour l'améliorer (protection contre les scanners de vulnérabilités…) ? Merci d'avance. #!/bin/sh PATH=/usr/sbin:/sbin:/bin:/usr/bin # LAN sur eth0 # Internet sur eth1 # Purge de toutes les règles de toutes les tables iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Les connexions entrantes sont bloquées par défaut iptables -P INPUT DROP # Pas de filtrage sur l'interface de "loopback" iptables -A INPUT -i lo -j ACCEPT # Accepter le protocole ICMP (notamment le ping) iptables -A INPUT -p icmp -j ACCEPT # Autoriser toutes les connections établies ainsi que celles venant du LAN iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT # Autoriser le ssh sur le port 666 iptables -A INPUT -p tcp --dport 666 -j ACCEPT # Autoriser le transfert des connections venant du LAN. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT # Masquerade - Translation d'adresses iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # Ne pas transférer les connections venant de l'extérieur iptables -A FORWARD -i eth1 -o eth1 -j REJECT -- - Est ce que vous trouvez que les ordinateurs occupent une part importante de nos vies ? - Est ce que vous pensez que cette part va aller en grandissant ou en diminuant ? - Sur la base des deux réponses que vous venez de faire, êtes vous prêt à confier à une [unique] entreprise commerciale la gestion des programmes qui permettent le fonctionnement de tous les ordinateurs ? -+- Extrait de «Églantine et les Ouinedoziens» -+- J'ai confié la gestion des programmes de mon ordinateur à une fondation à but non lucratif : La fondation pour les logiciels libres.
Attachment:
signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=
Mail converted by MHonArc 2.6.19+ | http://listengine.tuxfamily.org/ |