Redirection



  • Bonjour a tous ,

    Je vous remercie pour votre attention, car je suis entrain de configurer pour la première fois pfsense et j' ai deux interfaces(re0 et re1).
        WAN - re0 static 192.168.1.200
        LAN  - re1 static 172.26.0.32

    je veux que toutes les requête qui sorte sur internet au niveau de mon réseau LAN(172.26.0.1/24) passe par 192.168.1.200 comme serveur proxy. mais je n'arrive pas a faire cette configuration merci.

    comme exemple sur mon serveur proxy ubuntu.

    voici mon iptables sur mon serveur proxy ubuntu.

    #!/bin/bash

    cette version du script autorise squid, pop3, smtp, imap, ping et refuse la  navigation sans proxy!

    #–------------------------------
    #-----------------------------------

    on flush iptables

    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    On drop tous

    iptables -P OUTPUT DROP
    iptables -P INPUT DROP
    iptables -P FORWARD DROP

    #Nous allons donc maintenant laisser passer les connexions sortantes, initialisées par les  machines du réseau interne et laisser passer les réponses à ces dernières:
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    Partage de connexions

    iptables -t nat -A POSTROUTING -s 172.26.0.0/24 -o eth0 -j MASQUERADE

    Je veux que les requêtes TCP reçues sur le port 80 soient forwardées à la machine dont l'IP est 172.26.0.32 sur son port 80 (la réponse à la requête sera forwardée au client)

    iptables -t nat -A PREROUTING -p tcp -s 172.26.0.0/255.255.255.0 -i eth0 --dport 80 -j DNAT --to-destination 172.26.0.32:8080

    iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
    iptables -A FORWARD -s 172.26.0.0/24 -p tcp --dport 8080 -j ACCEPT

    #Nous autorisons ce qui est le plus sûr, le loopback (accès à son propre poste)
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    #Nous pouvons maintenant intégrer les connexions au NAT par défaut :
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT

    #Ensuite, comme nous faisons confiance à notre réseau local, nous autorisons ce qui provient de  notre réseau local.
    iptables -t filter -A OUTPUT -o eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPT
    iptables -t filter -A INPUT -i eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPT

    Connexion SSH In et Out

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    ##blocage du port 80 et 8080 pour l'ip 172.26.0.13
    iptables -I INPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
    iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
    iptables -I INPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROP
    iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROP

    Mail

    iptables -A INPUT -p tcp --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp --dport 465 -j ACCEPT
    iptables -A INPUT -p tcp --dport 995 -j ACCEPT
    iptables -A INPUT -p tcp --dport 993 -j ACCEPT
    iptables -A INPUT -p tcp --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp --dport 143 -j ACCEPT
    iptables -A INPUT -p tcp --dport 587 -j ACCEPT

    iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 993 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT
    iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT

    #Se protéger des scan de port
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    #Se protéger contre le ping de la mort
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    iptables −A INPUT −p tcp −−dport 139 −i eth1 −j ACCEPT
    iptables −A INPUT −p udp −−dport 139 −i eth1 −j ACCEPT

    ICMP (Ping)

    iptables -t filter -A INPUT -p icmp -j ACCEPT
    iptables -t filter -A OUTPUT -p icmp -j ACCEPT
    iptables -t filter -A FORWARD -p icmp -j ACCEPT

    DHCP

    #iptables -I INPUT -i eth1 -p udp --dport 67:68 --sport \ 67:68 -j ACCEPT

    J'autorise les connexions TCP et UDP entrantes sur le port 139

    mais uniquement sur l'interface "eth1"

    (pour que mon serveur Samba soit joignable depuis mon LAN seulement)

    ##blocage du port 80 et 8080 pour la plage 172.26.1.2/255.255.255.0
    iptables  -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
    iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
    iptables -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROP
    iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROP

    DNS In et Out

    iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT

    ##Autorisation du port webmin
    iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 10000 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 10000 -j ACCEPT
    iptables -t filter -A OUTPUT -p udp --dport 10000 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --sport 10000 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --sport 10000 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --dport 10000 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --dport 10000 -j ACCEPT

    ##Autorisation du port radmin
    iptables -t filter -A INPUT -p tcp --dport 4899 -j ACCEPT
    iptables -t filter -A INPUT -p udp --dport 4899 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 4899 -j ACCEPT
    iptables -t filter -A OUTPUT -p udp --dport 4899 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --sport 4899 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --sport 4899 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --dport 4899 -j ACCEPT
    iptables -t filter -A FORWARD -p udp --dport 4899 -j ACCEPT

    FTP

    iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --sport 21 -j ACCEPT
    iptables -t filter -A FORWARD -p tcp --dport 21 -j ACCEPT

    #exit 0



  • Regardez ici: https://forum.pfsense.org/index.php?board=7.0

    Poster votre question la-bas.

    PS: Ce n'est pas le bon forum pour IPTables.


Log in to reply