From 8c53c513d184307dfe951ca6f4c0402deb011f4d Mon Sep 17 00:00:00 2001 From: "guillaume.emorine" Date: Mon, 29 Apr 2024 09:24:04 +0200 Subject: [PATCH] =?UTF-8?q?=09Modifi=C3=A9=C2=A0:=20=20=20=20=20=20=20=20?= =?UTF-8?q?=20sisr1/tp08/firewall=5Fregles.txt?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- sisr1/tp08/firewall_regles.txt | 35 ++++++++++++++++++++++++---------- 1 file changed, 25 insertions(+), 10 deletions(-) diff --git a/sisr1/tp08/firewall_regles.txt b/sisr1/tp08/firewall_regles.txt index 0d1682a..c830d86 100644 --- a/sisr1/tp08/firewall_regles.txt +++ b/sisr1/tp08/firewall_regles.txt @@ -5,7 +5,7 @@ # Etape 4 - oui # Etape 5 - oui # Etape 6 - oui -# Etape 7 - oui ? +# Etape 7 - oui # Etape 8 - non # Définition des interfaces avec un nom @@ -34,7 +34,7 @@ define lan-dhcp = 172.16.0.100-172.16.0.200 # IPs utilisées en plage DHCP # Début des tables et des chaînes -table ip ipfilter{ +table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; @@ -62,10 +62,10 @@ table ip ipfilter{ udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis la DMZ vers sio.lan (gwsio) (étape 6) + #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent de la DMZ (étape 7) - A vérifier + #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } @@ -99,7 +99,7 @@ table ip ipfilter{ udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes vers internet si elles viennent de la DMZ (étape 7) - A vérifier + #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } @@ -127,10 +127,10 @@ table ip ipfilter{ udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis la DMZ vers sio.lan (gwsio) (étape 6) + #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent de la DMZ (étape 7) - A vérifier + #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } @@ -186,10 +186,25 @@ table ip ipfilter{ udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis la DMZ vers sio.lan (gwsio) (étape 6) + #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent de la DMZ (étape 7) - A vérifier + #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept - } \ No newline at end of file + } + +# Chaînes pour la NAT - étape 8. + + chain nat_prerouting { + type nat hook prerouting priority filter; policy accept; + } + + chain nat_postrouting { + type nat hook postrouting priority filter; policy accept; + + ip saddr $dmz-ntw masquerade + + } + +} \ No newline at end of file