[LA-discussions] Demande d'avis sur un script de configuration iptables

[ Thread Index | Date Index | More linuxarverne.org/discussions Archives ]

To: Liste Linux <discussions@xxxxxxxxxxxxxxxx>
Subject: [LA-discussions] Demande d'avis sur un script de configuration iptables
From: Matthieu COUDERT <coudcoud63@xxxxxxxxx>
Date: Wed, 24 Aug 2011 22:31:56 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=subject:from:to:content-type:date:message-id:mime-version:x-mailer; bh=sW7ZSiRK0RDJ6yAFqatIVkzTEo5yrAa9Zq3ZtAJ999c=; b=XoNNUD0X6TvRzF1m8IViGkf1qaXnNkjGubkrY+8HG0O0U9u69GvAjtJUJTO/PLTHLa 3qoQfhjkqN88cr42E7abay2oR+vNtc5o6iBYkpeSDbw6qcR9iV1GbWgaM9YutH0XC4nh UJO5i57FMDD4lEKJVRqX4Ync1+ub9sWl64BsY=

Bonsoir à tous.
Je m'initie au maniement de iptables pour me configurer un routeur NAT.
En fouillant sur le web et en recoupant deux ou trois tutoriels, j'ai
obtenu le script ci-dessous.
Il fonctionne mais me semble un peu basique, certains sites fournissent
des scripts beaucoup plus longs, mais je ne me sens pas le courage de
tenter de les comprendre.
Donc je fais appel à vous, car je suis sûr que certains ont une
meilleure connaissance que moi en sécurité réseau.
Déjà, que pensez-vous de mon script ? Ensuite avez-vous des astuces pour
l'améliorer (protection contre les scanners de vulnérabilités…) ?
Merci d'avance.

#!/bin/sh

PATH=/usr/sbin:/sbin:/bin:/usr/bin

# LAN sur eth0
# Internet sur eth1

# Purge de toutes les règles de toutes les tables
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X

# Les connexions entrantes sont bloquées par défaut
iptables -P INPUT DROP

# Pas de filtrage sur l'interface de "loopback"
iptables -A INPUT -i lo -j ACCEPT

# Accepter le protocole ICMP (notamment le ping)
iptables -A INPUT -p icmp -j ACCEPT

# Autoriser toutes les connections établies ainsi que celles venant du
LAN
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED
-j ACCEPT
iptables -A INPUT -m state --state NEW -i eth0 -j ACCEPT

# Autoriser le ssh sur le port 666
iptables -A INPUT -p tcp --dport 666 -j ACCEPT

# Autoriser le transfert des connections venant du LAN.
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# Masquerade - Translation d'adresses
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Ne pas transférer les connections venant de l'extérieur
iptables -A FORWARD -i eth1 -o eth1 -j REJECT

-- 
- Est ce que vous trouvez que les ordinateurs occupent une part
importante de nos vies ?
- Est ce que vous pensez que cette part va aller en grandissant ou en
diminuant ?
- Sur la base des deux réponses que vous venez de faire, êtes vous prêt
à confier à une [unique] entreprise commerciale la gestion des
programmes qui permettent le fonctionnement de tous les ordinateurs ?
-+- Extrait de «Églantine et les Ouinedoziens» -+-
J'ai confié la gestion des programmes de mon ordinateur à une fondation
à but non lucratif : La fondation pour les logiciels libres.

Attachment: signature.asc
Description: Ceci est une partie de message =?ISO-8859-1?Q?num=E9riquement?= =?ISO-8859-1?Q?_sign=E9e?=

Messages sorted by: [ date | thread ]
Prev by Date: Re: [LA-discussions] Du monde ce soir
Next by Date: [LA-discussions] jeudi soir
Previous by thread: Re: [LA-discussions] Du monde ce soir
Next by thread: [LA-discussions] jeudi soir

Mail converted by MHonArc 2.6.19+

http://listengine.tuxfamily.org/