• # essai rapide

    Posté par . En réponse au message DMZ. Évalué à 1.

    Sur le routeur, que donne :
    iptables -t nat -A PREROUTING -s ! 192.168.0.0/16 -d 213.44.97.210 -p tcp --dport 80 -j DNAT --to-destination [IP du serveur apache]
    iptables -A FORWARD -s ! 192.168.0.0/16 -d [IP apache] -i ppp1 -o br0 -p tcp --dport 80 --sport 1024: -m state --state NEW,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -s [IP apache] -o ppp1 -i br0 -p tcp --sport 80 --dport 1024: -m state --state ESTABLISHED -j ACCEPT

    La première règle établit la translation d'adresse IP (la vraie cible de la connexion devient apache et non le routeur), les deux suivantes autorisent le transfert des paquets dans un sens puis dans l'autre.

    Ces règles sont vaguement sévères, mais en sécurité, on n'en fait jamais assez. A adapter aux règles existantes sur le routeur bien sûr.

    La gestion réseau de base n'a rien d'inquiétant. En cherchant un peu de doc, on tombe sur http://www.lea-linux.org/cached/index/Reseau-secu-iptables.h(...) qui donne exactement ce que tu veux faire.