Redirection
-
Bonjour a tous ,
Je vous remercie pour votre attention, car je suis entrain de configurer pour la première fois pfsense et j' ai deux interfaces(re0 et re1).
WAN - re0 static 192.168.1.200
LAN - re1 static 172.26.0.32je veux que toutes les requête qui sorte sur internet au niveau de mon réseau LAN(172.26.0.1/24) passe par 192.168.1.200 comme serveur proxy. mais je n'arrive pas a faire cette configuration merci.
comme exemple sur mon serveur proxy ubuntu.
voici mon iptables sur mon serveur proxy ubuntu.
#!/bin/bash
cette version du script autorise squid, pop3, smtp, imap, ping et refuse la navigation sans proxy!
#–------------------------------
#-----------------------------------on flush iptables
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -XOn drop tous
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP#Nous allons donc maintenant laisser passer les connexions sortantes, initialisées par les machines du réseau interne et laisser passer les réponses à ces dernières:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPTPartage de connexions
iptables -t nat -A POSTROUTING -s 172.26.0.0/24 -o eth0 -j MASQUERADE
Je veux que les requêtes TCP reçues sur le port 80 soient forwardées à la machine dont l'IP est 172.26.0.32 sur son port 80 (la réponse à la requête sera forwardée au client)
iptables -t nat -A PREROUTING -p tcp -s 172.26.0.0/255.255.255.0 -i eth0 --dport 80 -j DNAT --to-destination 172.26.0.32:8080
iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -s 172.26.0.0/24 -p tcp --dport 8080 -j ACCEPT#Nous autorisons ce qui est le plus sûr, le loopback (accès à son propre poste)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT#Nous pouvons maintenant intégrer les connexions au NAT par défaut :
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT#Ensuite, comme nous faisons confiance à notre réseau local, nous autorisons ce qui provient de notre réseau local.
iptables -t filter -A OUTPUT -o eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -s 172.26.0.0/24 -d 172.26.0.0/24 -j ACCEPTConnexion SSH In et Out
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
##blocage du port 80 et 8080 pour l'ip 172.26.0.13
iptables -I INPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 80 -j DROP
iptables -I INPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROP
iptables -I OUTPUT -p tcp -s 172.26.0.13 --dport 8080 -j DROPMail
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 465 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 587 -j ACCEPTiptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 465 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 995 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 993 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 143 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 587 -j ACCEPT#Se protéger des scan de port
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT#Se protéger contre le ping de la mort
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPTiptables −A INPUT −p tcp −−dport 139 −i eth1 −j ACCEPT
iptables −A INPUT −p udp −−dport 139 −i eth1 −j ACCEPTICMP (Ping)
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPTDHCP
#iptables -I INPUT -i eth1 -p udp --dport 67:68 --sport \ 67:68 -j ACCEPT
J'autorise les connexions TCP et UDP entrantes sur le port 139
mais uniquement sur l'interface "eth1"
(pour que mon serveur Samba soit joignable depuis mon LAN seulement)
##blocage du port 80 et 8080 pour la plage 172.26.1.2/255.255.255.0
iptables -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 80 -j DROP
iptables -I INPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROP
iptables -I OUTPUT -p tcp -m iprange --src-range 172.26.1.1-172.26.1.254 --dport 8080 -j DROPDNS In et Out
iptables -t filter -A INPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT##Autorisation du port webmin
iptables -t filter -A INPUT -p tcp --dport 10000 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 10000 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 10000 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 10000 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 10000 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 10000 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 10000 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 10000 -j ACCEPT##Autorisation du port radmin
iptables -t filter -A INPUT -p tcp --dport 4899 -j ACCEPT
iptables -t filter -A INPUT -p udp --dport 4899 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 4899 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 4899 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 4899 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 4899 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 4899 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 4899 -j ACCEPTFTP
iptables -t filter -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 21 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 21 -j ACCEPT#exit 0
-
Regardez ici: https://forum.pfsense.org/index.php?board=7.0
Poster votre question la-bas.
PS: Ce n'est pas le bon forum pour IPTables.