Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1502 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Iptables] script pour passerelle

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Iptables] script pour passerelle

n°735416
Moa_
Posté le 28-09-2005 à 16:58:49  profilanswer
 

Bonjour,
après avoir lu bon nombre de tuto et docs sur iptables et la sécurité, je suis arrivé à un script adapté à mon config, à savoir :
Internet <-----> ADSL Gateway (modem/switch) <--->  [eth1] PC passerelle [eth0] <-----> réseau
 
ADSL Gateway : 192.168.1.2
eth1 PC : 192.168.1.1
eth0 PC : 192.168.0.1
réseau : adresses en 192.168.0.xxx
 
Voici le script iptables que j'ai lancé dessus:

Code :
  1. #!/bin/bash
  2. ## Regles Iptables ##
  4. # Paramétrage des variables
  5. LAN_INT=eth0  ; # Interface réseau interne
  6. LAN_IP=192.168.0.1 ; # IP interne
  7. LAN_NWK=192.168.0.0/24 ; # Réseau interne
  8. LAN_BDCST=192.168.0.255 ; # Broadcast interne
  10. WAN_INT=eth1  ; # Interface réseau externe
  11. WAN_IP=192.168.1.1 ; # IP externe
  12. WAN_NWK=192.168.1.0/24 ; # Réseau externe
  14. # Init de la table FILTER
  15. echo "+ Initialisation de la table Filter"
  16. iptables -t filter -F
  17. iptables -t filter -X
  18. iptables -t filter -P INPUT DROP
  19. iptables -t filter -P OUTPUT DROP
  20. iptables -t filter -P FORWARD DROP
  22. # Init de la table NAT
  23. echo "+ Initialisation de la table NAT"
  24. iptables -t nat -F
  25. iptables -t nat -X
  26. iptables -t nat -P PREROUTING ACCEPT
  27. iptables -t nat -P POSTROUTING ACCEPT
  28. iptables -t nat -P OUTPUT ACCEPT
  30. # Boucle locale
  31. echo "+ Regles du localhost"
  32. iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
  33. iptables -t filter -A INPUT  -i lo -p all -j ACCEPT
  35. # Boucle reseau local
  36. echo "+ Regles du réseau local ($LAN_INT - $LAN_IP - $LAN_NWK)"
  37. echo "++ Connexion firewall <-> réseau"
  38. iptables -t filter -A OUTPUT -o $LAN_INT -d $LAN_NWK -p all -j ACCEPT
  39. iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -p all -j ACCEPT
  41. echo "++ Connexion firewall <-> broadcast réseau"
  42. iptables -t filter -A OUTPUT -o $LAN_INT -s $LAN_IP -d $LAN_BDCST -p all -j ACCEPT
  43. iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_BDCST -d $LAN_IP -p all -j ACCEPT
  45. # Acces de la Passerelle a Internet
  46. echo "+ Regles pour Internet ($WAN_INT - $WAN_IP - $WAN_NWK)"
  47. iptables -t filter -A OUTPUT -o $WAN_INT -s $WAN_IP -d $WAN_NWK -p all -m state --state ! INVALID      -j ACCEPT
  48. iptables -t filter -A INPUT  -i $WAN_INT -s $WAN_NWK -d $WAN_IP -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
  50. # Conntrack
  51. echo "+ Activation du suivi de connexion"
  52. ## toute connexion LAN --> NET acceptees
  53. iptables -t filter -A FORWARD -i $LAN_INT -o $WAN_INT -s $LAN_NWK -d 0.0.0.0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
  54. ## connexions etablies ou en relation NET --> LAN acceptees
  55. iptables -t filter -A FORWARD -i $WAN_INT -o $LAN_INT -s 0.0.0.0/0 -d $LAN_NWK -m state --state ESTABLISHED,RELATED -j ACCEPT
  57. # NAT
  58. echo "+ Activation du NAT et IP masquerading"
  59. echo "1" > /proc/sys/net/ipv4/ip_forward
  60. iptables -t nat -A POSTROUTING -o $WAN_INT -s $LAN_NWK -j MASQUERADE
  63. # Services sur la machine locale (FTP, SSH, HTTP)
  64. echo "+ Ouverture des ports des services locaux"
  65. echo "++ FTP"
  66. iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT
  67. iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT
  68. echo "++ SSH"
  69. iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
  70. echo "++ HTTP"
  71. iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT


 
Une fois ce script exécuté, les pc du réseau ont accès à internet, mais pas le pc passerelle, alors qu'avant de lancer le script il l'avait.
 
Pour la boucle réseau local j'ai modifié ces lignes :  
iptables -t filter -A OUTPUT -o $LAN_INT -d $LAN_NWK -p all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -p all -j ACCEPT
 
que j'avais initialement écrit :  
iptables -t filter -A OUTPUT -o $LAN_INT -s $LAN_IP -d $LAN_NWK -p all -j ACCEPT
iptables -t filter -A INPUT  -i $LAN_INT -s $LAN_NWK -d $LAN_IP -p all -j ACCEPT
 
parce que les autres pc du réseau ne pouvaient à pas accéder au pc passerelle (ping et samba)
je vois pas pourquoi ces précisions font que la communication est refusée entre le serveur et les pc du réseau :??: .
 
Autre détail, la "ADSL Gateway" Linksys est administrable par page web, on peut y configurer son IP, fonctions DHCP, VPN, port forwarding, firewall... etc
j'ai désactivé toutes les fonctions qui sont assurées par la passerelle PC.
 
sur le Pc passerelle :

Code :
  1. login$ nmap localhost
  2. Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-28 16:54 CEST
  3. Interesting ports on localhost (127.0.0.1):
  4. (The 1656 ports scanned but not shown below are in state: closed)
  5. PORT     STATE SERVICE
  6. 22/tcp   open  ssh
  7. 80/tcp   open  http
  8. 139/tcp  open  netbios-ssn
  9. 443/tcp  open  https
  10. 445/tcp  open  microsoft-ds
  11. 3306/tcp open  mysql
  12. 6000/tcp open  X11
  14. Nmap finished: 1 IP address (1 host up) scanned in 0.284 seconds


 
je ne vois pas pourquoi certains ports sont ouverts alors que je ne les ai pas autorisés  :??:  
 
Puissiez-vous apporter des réponses à mes réponses ... :jap:


Message édité par Moa_ le 28-09-2005 à 17:00:37
mood
Publicité
Posté le 28-09-2005 à 16:58:49  profilanswer
 

n°735419
l0ky
Posté le 28-09-2005 à 17:03:36  profilanswer
 

tu scan localhost, ie 127.0.0.1, ie ton interface lo


 # Boucle locale
 echo "+ Regles du localhost"
 iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
 iptables -t filter -A INPUT  -i lo -p all -j ACCEPT


Donc c'est normal que tous ces ports soient ouvert [:spamafote]

n°735424
Moa_
Posté le 28-09-2005 à 17:09:40  profilanswer
 

hmmhmmm  :whistle: flute ...
en fait il me sort quelques ports de ce résultat si je fais un nmap depuis internet sur cette ip, et meme pas ceux que j'ai autorisé :/

n°735430
Moa_
Posté le 28-09-2005 à 17:38:52  profilanswer
 

J'ai supprimé ce que j'ai mis en gras :
# # Acces de la Passerelle a Internet
# echo "+ Regles pour Internet ($WAN_INT - $WAN_IP - $WAN_NWK)"
# iptables -t filter -A OUTPUT -o $WAN_INT -s $WAN_IP -d $WAN_NWK -p all -m state --state ! INVALID         -j ACCEPT
# iptables -t filter -A INPUT  -i $WAN_INT -s $WAN_NWK -d $WAN_IP -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
 
et maintenant le pc passerelle a accès à internet ... mais je comprends pas pourquoi, car ce que j'ai supprimé c'est ce qu'il recoit ou envoit sur le réseau où est l'adsl gateway


Message édité par Moa_ le 28-09-2005 à 17:40:00

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [Iptables] script pour passerelle

 

Sujets relatifs
[script] enlever les espaces en fin de ligneIPTABLES: limiter les accès SSH
[Debian] [Résolu] bloqué à cause d'un mauvais script de démarrage !Script bash, petite question
[Résolu] Impossible d'exécuter un script sur un disque rajouté.Service Iptables Arreté !
iptables + conntrack_ftp + mode passif : connexions sortantes ?probleme script renommage
Script Psybnc 
Plus de sujets relatifs à : [Iptables] script pour passerelle

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.050 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR