Filtrage des paquets routes avec un pare-feu par Ansellmo - page 1

Filtrage des paquets routes avec un pare-feu

15 janvier 2018 à 21:32:12

Bonjour/Bonsoir,

Voilà dans un exercice de cours, je dois faire un script iptables pour filtrer les paquets routes via un pare-feu. Voici l'architecture du réseau dans lequel ce par-feu intervient:

Dans ce réseau il faut que les flux accessibles depuis l'extérieur(internet) vers la dmz publique soient SMTP, DNS et SHH

Les services accessibles depuis le réseau interne vers la DMZ publique sont SMTP et POP avec NAT en sortie

Voilà le petit script en bash que j'ai écrit:

### depuis le réseau extétieur ##
iptables -A FORWARD -p tcp --dport 22 -m -d 192.168.14.(N+4)/30 conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -p tcp --dport 25 -m -d 192.168.14.(N+4)/30 conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A FORWARD -p tcp --dport 80 -m -d 192.168.14.(N+4)/30 conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

#Depuis le réseau interne##
iptables -t nat -A FORWARD -p tcp --dport 25 -m -d 192.168.14.(N+4)/30 -s 10.0.0.0/24 conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -t nat -A FORWARD -p tcp --dport 110 -m -d 192.168.14.(N+4)/30 -s 10.0.0.0/24 conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

Je voulais donc savoir si le script que j'avais écrit était correct?

Puis il m'est aussi demandé qu'il soit accessible depuis le l'intérieur vers la DMZ privée de rendre accessible les flux http en IPV6 et je voulais savoir comment faire?

Merci d'avance de vos réponses

elalitte

16 janvier 2018 à 11:48:00

Hum, non, ton script n'est pas bon du tout, il manque énormément d'informations, dont la politique par défaut, les règles ESTABLISHED, etc.

Tu peux regarder mon cours sur netfilter/iptables.

Eric Lalitte, Directeur d'IN'TECH Grand Dax - "Cours TCP/IP" - "La suite du cours TCP/IP" - Mon site, www.lalitte.com - Mailforkids.net, le site de messagerie protégé pour les enfants - La page Facebook d'IN'TECH