Posted: Tue Sep 01, 2009 11:23 Post subject: Regles IPTABLES pour dmz
Salut à tous,
Voila j'ai un linksys comme routeur en IP 192.168.1.1, j'ai donc plusieurs postes clients sur ce même réseau 192.168.1.X, sur mon routeur j'ai créé un vlan pour accueillir un serveur en dmz en ip 192.168.2.1 avec mon serveur en 192.168.2.2.
Voici les regles iptables ajoutés dans la config de mon routeur:
Je veux qu'il n'y ait aucune possibilité de routage entre mais 2 réseaux (2 vlans), sauf depuis mon client (192.168.1.2) vers ce serveur (192.168.2.2)
Je sais que ca marche, ma question est juste en terme de sécurité mon réseau 192.168.1.X est-il bien à l' abri du net.
Si non quelles règles faut-il que j'ajoute dans mon routeur.
Oui, merci pour ta reponse le firewall est bien sur activer, les regles iptables sont créées pour bien optimiser la securité et eviter toutes intrusions de ma dmz vers mon reseau local si mon serveur est attaqué.
J'ai un réseau local, en 10.1.1.X ou j'ai des pc.
J'ai crée un vlan, pour crée un second réseau local, en 10.1.2.X
Dans se second réseau local, j'ai un serveur VPN sous windows. Je cherche à le mettre en DMZ afin que le protocole GRE d'encapsulation de windows puisse passer. ( A moins que quelqu'un sache router ce protocole à travers mon DDWRT... )
Dans la config de mon DDWRT, il me propose automatiquement de crée une DMZ vers 10.1.1.[] (une adresse que je choisi dans mon lan )
Mais moi je veut ma DMZ dans ma deuxième vlan.
J'ai donc repris tes Iptables, mais ca ne fonctionne toujours pas. Quelqu'un à t'il une idée ?
Pour info afin que mes deux réseaux ne communique pas, j'ai fait des règles iptables :
iptables -I FORWARD -s 10.1.1.0/24 -d 10.1.2.0/24 -j DROP
iptables -I FORWARD -s 10.1.2.0/24 -d 10.1.1.0/24 -j DROP
Posted: Tue May 03, 2011 10:43 Post subject: Pour Blade46
Hello Blade,
Pour completement isoler ton rezo 192.168.1.x du net
iptables -I FORWARD -s 0.0.0.0/32 -d 192.168.1.0/24 -j DROP
Inseres bien sur cette regle APRES
iptables -I FORWARD -s 192.168.1.2 -d 192.168.2.2 -j ACCEPT
Sinon plus rien :0)
Concernant la DMZ, essayer
iptables -I FORWARD -s 0.0.0.0/32 -d 192.168.1.0/24 -j ACCEPT pourrait fonctionner au niveau iptables bien sur mais le principal pb est que les flux seront examines par le routeur et passeront par la couche "Firewall" ce qui n'est pas ce que l'on vut lors d'un DMZ, meme natté.