Bonjour,
Voici un bout de mon réseau, mais qui a évoluer depuis.
Concentrons nous sur le Vmnet0, le LAN GREEN.
Je voudrais que Debian n’ai pas accès au web, que la distrib serve juste a forwarder les paquets sur IPCOP.
Voici un début de script pour faire mes règles IPTABLES:
#!/bin/sh -norc
###############################################################################
# NOM: /etc/scripts/iptables_init.sh
# COMMENTAIRE : Utilisation du suivi de connexion (ip_conntrack)
###############################################################################
###############################################################################
# Variables globales
###############################################################################
echo " + ============== INITIALISATION DES TABLES NETFILTER ==============="
# Parametrage du reseau local (LAN = Local Area Network)
IP_DEBIAN_ETH0_GREEN=192.168.1.1
IP_IPCOP_LAN_GREEN=192.168.1.254
IP_GREEN_LAN_BCAST=192.168.1.255
LAN_ETH0=eth0
###############################################################################
### Initialisation des tables
###############################################################################
# Initialise la table Filter (par defaut tout les echanges sont refuses)
echo " + Initialisation de la table Filter"
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Initialise la table NAT (par defaut tout les echanges sont actives)
echo " + Initialisation de la table NAT"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Initialise la table Mangle (par defaut tout les echanges sont actives)
echo " + Initialisation de la table MANGLE"
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
# Desactivation du NAT (fonction routeur)
echo " + Desactivation du NAT"
echo 0 > /proc/sys/net/ipv4/ip_forward
###############################################################################
### Creation des regles de filtrages
###############################################################################
# Autorise l'interface loopback à dialoguer avec elle-meme
echo " + Regles du localhost"
iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
iptables -t filter -A INPUT -i lo -p all -j ACCEPT
# Connexions ETH0 Debian <-> GREEN IPCOP
iptables -t filter -A FORWARD -o $LAN_ETH0 -s $IP_DEBIAN_ETH0_GREEN -d $IP_IPCOP_LAN_GREEN -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i $LAN_ETH0 -s $IP_IPCOP_LAN_GREEN -d $IP_DEBIAN_ETH0_GREEN -m state --state ! INVALID -j ACCEPT
AVec ces règles est on d’accord que le flux sur le LAN green, ne peux que rentré et sortir via l’interface green de ipcop?
En clair eth0 physique ne peut avoir accès au web.
Autrement rien ne peux communiquer?
Sachant que je fais que du forward, je me demandai si il n’étaits pas plus judicieux d’utiliser la table NAT?
Merci