Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Redirection

    Scheduled Pinned Locked Moved Français
    2 Posts 2 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      lecarlyte
      last edited by

      Bonjour a tous ,

      Je vous remercie pour votre attention, car je suis entrain de configurer pour la première fois pfsense et j' ai deux interfaces(re0 et re1).
          WAN - re0 static 192.168.1.200
          LAN  - re1 static 172.26.0.32

      je veux que toutes les requête qui sorte sur internet au niveau de mon réseau LAN(172.26.0.1/24) passe par 192.168.1.200 comme serveur proxy. mais je n'arrive pas a faire cette configuration merci.

      comme exemple sur mon serveur proxy ubuntu.

      voici mon iptables sur mon serveur proxy ubuntu.

      #!/bin/bash

      cette version du script autorise squid, pop3, smtp, imap, ping et refuse la  navigation sans proxy!

      #–------------------------------
      #-----------------------------------

      on flush iptables

      iptables -F
      iptables -X
      iptables -t nat -F
      iptables -t nat -X

      On drop tous

      iptables -P OUTPUT DROP
      iptables -P INPUT DROP
      iptables -P FORWARD DROP

      #Nous allons donc maintenant laisser passer les connexions sortantes, initialisées par les  machines du réseau interne et laisser passer les réponses à ces dernières:
      iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
      iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

      Partage de connexions

      iptables -t nat -A POSTROUTING -s 172.26.0.0/24 -o eth0 -j MASQUERADE

      Je veux que les requêtes TCP reçues sur le port 80 soient forwardées à la machine dont l'IP est 172.26.0.32 sur son port 80 (la réponse à la requête sera forwardée au client)

      iptables -t nat -A PREROUTING -p tcp -s 172.26.0.0/255.255.255.0 -i eth0 --dport 80 -j DNAT --to-destination 172.26.0.32:8080

      iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
      iptables -A FORWARD -s 172.26.0.0/24 -p tcp --dport 8080 -j ACCEPT

      #Nous autorisons ce qui est le plus sûr, le loopback (accès à son propre poste)
      iptables -A INPUT -i lo -j ACCEPT
      iptables -A OUTPUT -o lo -j ACCEPT

      #Nous pouvons maintenant intégrer les connexions au NAT par défaut :
      iptables -t nat -P PREROUTING ACCEPT
      iptables -t nat -P POSTROUTING ACCEPT
      iptables -t nat -P OUTPUT ACCEPT

      #Ensuite, comme nous faisons confiance à notre réseau local, nous autorisons ce qui provient de  notre réseau local.
      iptables -t filter -A OUTPUT -o eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPT
      iptables -t filter -A INPUT -i eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPT

      Connexion SSH In et Out

      iptables -A INPUT -p tcp --dport 22 -j ACCEPT

      ##blocage du port 80 et 8080 pour l'ip 172.26.0.13
      iptables -I INPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
      iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
      iptables -I INPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROP
      iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROP

      Mail

      iptables -A INPUT -p tcp --dport 25 -j ACCEPT
      iptables -A INPUT -p tcp --dport 465 -j ACCEPT
      iptables -A INPUT -p tcp --dport 995 -j ACCEPT
      iptables -A INPUT -p tcp --dport 993 -j ACCEPT
      iptables -A INPUT -p tcp --dport 110 -j ACCEPT
      iptables -A INPUT -p tcp --dport 143 -j ACCEPT
      iptables -A INPUT -p tcp --dport 587 -j ACCEPT

      iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 993 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT
      iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT

      #Se protéger des scan de port
      iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

      #Se protéger contre le ping de la mort
      iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

      iptables −A INPUT −p tcp −−dport 139 −i eth1 −j ACCEPT
      iptables −A INPUT −p udp −−dport 139 −i eth1 −j ACCEPT

      ICMP (Ping)

      iptables -t filter -A INPUT -p icmp -j ACCEPT
      iptables -t filter -A OUTPUT -p icmp -j ACCEPT
      iptables -t filter -A FORWARD -p icmp -j ACCEPT

      DHCP

      #iptables -I INPUT -i eth1 -p udp --dport 67:68 --sport \ 67:68 -j ACCEPT

      J'autorise les connexions TCP et UDP entrantes sur le port 139

      mais uniquement sur l'interface "eth1"

      (pour que mon serveur Samba soit joignable depuis mon LAN seulement)

      ##blocage du port 80 et 8080 pour la plage 172.26.1.2/255.255.255.0
      iptables  -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
      iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
      iptables -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROP
      iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROP

      DNS In et Out

      iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
      iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
      iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
      iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

      ##Autorisation du port webmin
      iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
      iptables -t filter -A INPUT -p udp --dport 10000 -j ACCEPT
      iptables -t filter -A OUTPUT -p tcp --dport 10000 -j ACCEPT
      iptables -t filter -A OUTPUT -p udp --dport 10000 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --sport 10000 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --sport 10000 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --dport 10000 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --dport 10000 -j ACCEPT

      ##Autorisation du port radmin
      iptables -t filter -A INPUT -p tcp --dport 4899 -j ACCEPT
      iptables -t filter -A INPUT -p udp --dport 4899 -j ACCEPT
      iptables -t filter -A OUTPUT -p tcp --dport 4899 -j ACCEPT
      iptables -t filter -A OUTPUT -p udp --dport 4899 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --sport 4899 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --sport 4899 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --dport 4899 -j ACCEPT
      iptables -t filter -A FORWARD -p udp --dport 4899 -j ACCEPT

      FTP

      iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
      iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --sport 21 -j ACCEPT
      iptables -t filter -A FORWARD -p tcp --dport 21 -j ACCEPT

      #exit 0

      1 Reply Last reply Reply Quote 0
      • M
        muswellhillbilly
        last edited by

        Regardez ici: https://forum.pfsense.org/index.php?board=7.0

        Poster votre question la-bas.

        PS: Ce n'est pas le bon forum pour IPTables.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.