PDA

Afficher la version complète : Iptables



adminlinux
30/09/2005, 11h20
Bonjour,

J'ai une serveur avec squid et apache, je voudrais ouvrire le port pour apache sans que on puisse sortire sans passer pas squid avec les machines interne.

Funcky
30/09/2005, 11h51
tu trouveras peut être ton bonheur par ici : http://www.lea-linux.org/reseau/secu/iptables.html
perso ce tuto ma vraiment bien aidé.

adminlinux
01/10/2005, 14h08
Je te remercie pour le lien, mais avec sa je nage encore plus..... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif

adminlinux
03/10/2005, 11h07
http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif y a pas de champion..... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

galagann
03/10/2005, 16h06
Essaye çà : iptables -vt nat -I PREROUTING -i eth0 -d 192.168.0.3 -p tcp \ --dport 80 -j ACCEPT

adminlinux
04/10/2005, 16h06
galagann,

J'ai tapé la règle comme suite, iptables -t nat -I PREROUTING -i eth0 -d 192.168.1.1 -p tcp --dport 80 -j ACCEPT, et je me demande si a la place de ETH0 je doit pas mètre PPP0 ??? http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sweatingbullets.gif

galagann
04/10/2005, 16h32
Tu peux toujours faire le test, cela ne coût rien http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

adminlinux
04/10/2005, 17h32
J'ai testé, et sa fonctionne toujours pas.....

galagann
04/10/2005, 17h47
iptables -t nat -A PREROUTING -p tcp -j DNAT --destination-port 80 --to-destination 192.168.0.2:80

Edit : http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html (http://iptables-tutorial.frozentux.net/iptables-tutorial.html)

adminlinux
04/10/2005, 20h09
Quand je fais un nmap -sS ipduprovider, je n'ai pas le port 80 ouvert .... !!!! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/bang.gif

aldrik
11/10/2005, 11h20
tout simplement tu ajoutes une deuxième adresse IP sur la même carte réseau.
une adresse pour chaque type de service c'est bien, comme cela tu as plus de marge pour les ports.

Donc sans tomber dans l'extrême, en général je met une adresse pour ce qui concerne la gestion l'accès internet, tout ce qui concerne l'intranet dans une deuxième adresse. Donc comme cela squid écoute sur le port 80 d'une adresse, et apache sur celui de l'autre.

adminlinux
17/10/2005, 22h08
Tu peux me donner un fichier de conf que je comprènne mieux le truc ????

aldrik
18/10/2005, 12h36
Tu peux me donner un fichier de conf que je comprènne mieux le truc ????[/b]

Le serveur n'est pas au bureau, donc je te prépare çà pour demain.

adminlinux
18/10/2005, 13h52
Merci mon ami.... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

aldrik
20/10/2005, 12h09
voici la configuration d'un serveur au niveau des cartes réseaux :
/etc/sysconfig/network/ifcfgxxxxxxx

PERSISTENT_NAME='intranet'
BOOTPROTO='static'
BROADCAST='192.168.2.255'
IPADDR='192.168.2.1'
MTU=''
NETMASK='255.255.255.0'
NETWORK='192.168.2.0'
REMOTE_IPADDR=''
STARTMODE='hotplug'
UNIQUE='GA8e.+sm7363IdX9'
USERCONTROL='no'
_nm_name='bus-pci-0000:02:01.0'
IPADDR_='192.168.2.2'
NETMASK_='255.255.255.0'
LABEL_=''
BROADCAST__='192.168.2.255'
NETWORK__='192.168.2.0'
REMOTE_IPADDR__=''
IPADDR__='192.168.2.2'
LABEL__=''
NETMASK__='255.255.255.0'

Ici tu peux voir que la carte réseau à deux adresses IP : 192.168.2.1 et 192.168.2.2

/etc/squid/squid.conf a entre autre comme ligne :

http_port 192.168.2.1:3218

donc il écoute sur la première adresse et le firewall redirige toute les requêtes de 192.168.2.1:80 sur 192.168.2.1:3218


apache lui par contre à aussi besoin d'écouter sur un port 80 donc lui tous les hôtes virtuels sont sur l'adresse
192.168.2.2:80

Ainsi pas besoin de règle compliquées pour iptable.

Pour ce qui est de régler la carte avec plusieurs adresses, je l'avais fait avec YaST

adminlinux
20/10/2005, 14h08
Merci pour c'est infos qui me sont d'une tres grande utilité.

avec yast, je ne voie pas ou je peux lui dire de créer 2 adress.... si tu as une minut, tu peux toujours me l'indiqué.

Merci encore.

Tuxie
20/10/2005, 14h24
Tu devrais le faire avec Webmin, c'est beaucoup plus simple (je ne suis pas sûre mais il me semble qu'avec Yast tu ne peux pas).

adminlinux
20/10/2005, 15h20
Comme je l'ai déjà souligné, avec l'utilisation de webmin, on perd en sécurité et on pert le controle et le fonctionnement principale des fichiers de conf, et j'aime pas pèrdre de vue ou et comment manipulé les fichiers de conf, sa me reppel trop window$ http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

aldrik
21/10/2005, 11h47
Pour YaST2
cartes réseaux>modifier>avancé>adresses supplémentaires