| View previous topic :: View next topic |
| Author |
Message |
creuvard
Apprentice
Joined: 14 May 2004
Posts: 211
Location: Bordeaux
|
 Posted: Thu Jan 19, 2006 5:55 pm Post subject: [iptables] interface reseau virtuelle |
 |
|
Salut a tous.
Je voudrais savoir comment déclarer une interface reseau virtuelle dans mes régles iptables.
Voila je n'ai qu'une seule carte reseau.
| Code: |
eth0 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:192.168.xx.xx Bcast:192.168.xx.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:519072 errors:0 dropped:0 overruns:0 frame:0
TX packets:1247309 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:676750463 (645.3 Mb) TX bytes:1565489318 (1492.9 Mb)
Interrupt:11 Base address:0xe000
eth0:1 Link encap:Ethernet HWaddr xx:xx:xx:xx:xx:xx
inet addr:10.xxx.xxx.xxx Bcast:10.255.255.255 Mask:255.0.0.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
Interrupt:11 Base address:0xe000
|
Je voudrait faire entrer ce qui vient du net sur eth0 et sortir sur le reseau eth0:1 (et pourquoi pas une DMZ sur eth0:2 )
Mon souci est que je ne sais pas comment faire pour déclaré eth0:1 dans mon script iptables
J'ai essayé plusieurs méthodes mais sans résultats:
LAN="eth0:1"
LAN="eth0\:1"
LAN='eth0:1'
LAN=`eth0:1`
LAN="eth0|10.xxx.xxx.xxx|255.0.0.0|10.255.255.255"
Voila 
Last edited by creuvard on Fri Jan 20, 2006 12:13 pm; edited 2 times in total |
|
| Back to top |
|
 |
Talosectos
Guru
Joined: 31 Aug 2004
Posts: 329
Location: Bugey-Libre
|
|
| Back to top |
|
|
creuvard
Apprentice
Joined: 14 May 2004
Posts: 211
Location: Bordeaux
|
| Posted: Fri Jan 20, 2006 12:04 am Post subject: |
|
|
Merci a toi Talosectos pour ta réponse rapide.
Comme cela le scripts se lance sans erreur mais je n'ai pas le reseau.
Je ne pense pas que cela vienne de mon scripts iptables car il marche trés bien lorsque le LAN a pour valeur LAN=eth0.
Donc soit la syntaxe est acceptée mais elle n'est pas correcte (dans le sens que eth0.1 ne correspont pas au mon adresse virtuel )
Soit mon script est ratté 
D'autres idée ? |
|
| Back to top |
|
|
Saigneur
Apprentice
Joined: 21 Oct 2004
Posts: 277
Location: Evry, Essonne, France (48°35'N, 02°15'E)
|
| Posted: Fri Jan 20, 2006 6:50 am Post subject: |
|
|
Ben fais voir le script 
Fais voir ton /etc/conf.d/net, aussi. Je suspecte un truc (genre 2 adresses Ip du même sous réseau sur la même carte  )
Edit : une boulette 
_________________
Tant pis si ça saigne, pourvu que ça rentre.
Last edited by Saigneur on Fri Jan 20, 2006 12:21 pm; edited 2 times in total |
|
| Back to top |
|
|
creuvard
Apprentice
Joined: 14 May 2004
Posts: 211
Location: Bordeaux
|
| Posted: Fri Jan 20, 2006 12:07 pm Post subject: |
|
|
| Saigneur wrote: | | Fais voir ton /etc/init.d/net.eth0 |
Je suppose que tu veux dire /etc/conf.d/net ?
Voici mon /etc/conf.d/net (Celui du routeur)
| Code: |
ifconfig_eth0=(
"192.168.1.4 broadcast 192.168.1.255 netmask 255.255.255.0"
"10.0.0.4 broadcast 10.255.255.255 netmask 255.0.0.0"
)
gateway="eth0/192.168.1.254"
|
Pour ce qui est de mon scripts voila le début.
| Code: |
#!/bin/bash
LAN="eth0.1"
WAN="eth0"
IP_du_LAN=10.0.0.0
iptables -X
iptables --table filter --flush
iptables --table filter --delete-chain
iptables --table nat --flush
iptables --table nat --delete-chain
iptables --table mangle --flush
iptables --table mangle --delete-chain
#########################################
#-Politique par default on détruit tout-#
#########################################
iptables --table filter --policy INPUT DROP
iptables --table filter --policy OUTPUT DROP
iptables --table filter --policy FORWARD DROP
#on autorise le reseau local
iptables --append INPUT --source $IP_du_LAN/24 --jump ACCEPT
iptables --append OUTPUT --destination $IP_du_LAN/24 --jump ACCEPT
###################################################
#-Mise en place de lo (réseau virtuel localhost)--#
###################################################
#Autorise l'interface loopback à dialoguer avec elle-même
iptables --table filter --append INPUT --in-interface lo --source $IP_du_LAN/0 --destination 0.0.0.0 --jump ACC
EPT
iptables --table filter --append OUTPUT --out-interface lo --source $IP_du_LAN/0 --destination 0.0.0.0 --jump A
CCEPT
iptables --table filter --append OUTPUT --out-interface lo --source 127.0.0.0/8 --destination 127.0.0.0/8 --jum
p ACCEPT
iptables --table filter --append INPUT --in-interface lo --source 127.0.0.0/8 --destination 127.0.0.0/8 --jump
ACCEPT
###################################
###################################
## Spécifiquation des services ##
###################################
###################################
# Resolution DNS pour le routeur/firewall
iptables --append INPUT --in-interface $WAN --protocol udp --source-port 53 --jump ACCEPT
iptables --append OUTPUT --out-interface $WAN --protocol udp --destination-port 53 --jump ACCEPT
iptables --append INPUT --in-interface $WAN --protocol tcp --source-port 53 --jump ACCEPT
iptables --append OUTPUT --out-interface $WAN --protocol tcp --destination-port 53 --jump ACCEPT
# Autorise le reseau
iptables --append FORWARD --in-interface $WAN -o $LAN --protocol udp --source-port 53 -j ACCEPT
iptables --append FORWARD --in-interfac $LAN -o $WAN --protocol udp --destination-port 53 -j ACCEPT
###############################
#-Connexions a Internet (www)-#
###############################
#connexions du Firewall a Internet (www)
#http => port 80 https=> port 443
iptables --append OUTPUT --protocol tcp --destination-port 80 --out-interface $WAN -m state --state NEW,ESTABLISHED --jump ACCEPT
iptables --append OUTPUT --protocol tcp --destination-port 443 --out-interface $WAN -m state --state NEW,ESTABLISHED --jump ACCEPT
#http => port 80 https=> port 443
iptables --append INPUT --protocol tcp --source-port 80 --in-interface $WAN -m state --state ESTABLISHED -j ACCEPT
iptables --append INPUT --protocol tcp --source-port 443 --in-interface $WAN -m state --state ESTABLISHED -j ACCEPT
#Aurorise le LAN
iptables --append FORWARD -i $WAN -o $LAN --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables --append FORWARD -i $LAN -o $WAN --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables --append FORWARD -i $WAN -o $LAN --protocol tcp --source-port 443 -m state --state ESTABLISHED -j ACCEPT
iptables --append FORWARD -i $LAN -o $WAN --protocol tcp --destination-port 443 -m state --state NEW,ESTABLISHED -j ACCEPT
.....
....
...
..
.
|
Le /etc/conf.d/net d'une bécanne derrière le pare-feu:
| Code: |
config_eth0=( "10.0.0.5 netmask 255.0.0.0 brd 10.255.255.255")
routes_eth0=( "default gw 10.0.0.4" )
|
|
|
| Back to top |
|
|
creuvard
Apprentice
Joined: 14 May 2004
Posts: 211
Location: Bordeaux
|
| Posted: Sat Jan 21, 2006 4:16 pm Post subject: |
|
|
Je viens d'essayé avec ===> LAN="<eth0:1 10.0.0.4>"
et voici le genre de message que j'obtient a la sortie.
| Code: |
Warning: wierd character in interface `<eth0:1' (No aliases, :, ! or *). Bad argument `10.0.0.4>'
|
Si ca peux aider à faire avancer le Smilblick |
|
| Back to top |
|
|
|
French
