Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1302 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

IPTABLES pour ICMP

n°1350252
elmountass​er
Posté le 31-12-2013 à 15:51:01  profilanswer
 

Bonjour,  
je suis nouveaux sur l'utilisation de linux et je voudrais appliquer le Firewall (iptables) sur mon reseuax  
mon reseux est comme suite:  
pcinterne : 192.168.10.10  
Firewall : 192.168.10.1 (eth0) et 10.21.0.1 (eth1)  
pcexterne : 10.21.0.21  
 
pcinterne--------eth0---Firewall---eth1--------pcexterne  
 
192.168.10.10-----192.168.10.1 || 10.21.0.1---------10.21.0.21  
 
j'utilise le Firewall iptables sur un machine linux comme suite:  
-j'autorise la machine pcinterne (réseaux local) à effectuer un ping (icmp type 8) sur la machine pcexterne (réseaux distant) (qui répondra par icmp type 0).  
 
 
-j'ai activer le routage:  
#echo "1" > /proc/sys/net/ipv4/ip_forward  
 
-puis DROP pour tt:  
#iptables -P INPUT DROP  
#iptables -P OUTPUT DROP  
#iptables -P FORWARD DROP  
 
-autoriser le ping  
#iptables -A INPUT -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  
#iptables -A OUTPUT -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
je sais bien que cette config n est pas suffisant et ne marche pas, mais si je fais la meme chose pour la chaine FORWARD au lieu de INPUT et OUTPUT:  
 
#iptables -A FORWARD -p icmp --icmp-type 8 -s 192.168.10.10 -d 10.21.0.21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  
#iptables -A FORWARD -p icmp --icmp-type 0 -s 10.21.0.21 -d 192.168.10.10 -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
ca fctionne bien, dans ce cas je sais pas si j'ai securiser au max mon reseaux (ne rien laisser passer sauf le ping).  
merci de me corriger l'erreur.

mood
Publicité
Posté le 31-12-2013 à 15:51:01  profilanswer
 

n°1350286
elmountass​er
Posté le 01-01-2014 à 21:21:59  profilanswer
 

je pense que la chaine FORWARD est la correct parce que j'utilise le firewall linux qui n'entre pas en communication entre les 2 autres machines. maintenant j'ai un problème pour reussir la communication par le FTP
 
 
 
merci si vous avez un solution

n°1350315
O'Gure
Modérateur
Multi grognon de B_L
Posté le 02-01-2014 à 13:17:44  profilanswer
 

Renseigne toi sur comment fonctionne le protocole FTP (mode passif/actif) et sur les modules conntrack de netfilter pour le suivi de connexion pour ftp
sinon oui :
  - forward = chaine qui est regardé pour le traffic qui routé à travers l'équipement
  - input/output = chaines qui sont regardés pour le traffic à destination de l'équipement.


Message édité par O'Gure le 02-01-2014 à 13:18:19

---------------
Relax. Take a deep breath !
n°1350335
T3K
Berserk Overkill Certified
Posté le 02-01-2014 à 17:18:18  profilanswer
 

Déjà, c'est sûr, FORWARD c'est bien la chaîne qu'il faut configurer pour laisser passer ICMP à travers le routeur.  ;)  
 
Mais à priori c'est pas trop mal tes règles pour le ping
 
précision pour FTP : dans le chargement des modules au démarrage de iptable, il faut ajouter dans le fichier iptables-config, les modules ip_conntrack_ftp et ip_nat_ftp (dans le cas d'un routage avec un NAT sur l'if externe) pour envoyer les requêtes sur le port tcp 21 du serveur qui va ensuite répondre depuis son port tcp 20 (ça c'est pour le mode actif) attention tu dois autoriser les machines du réseau interne à traverser le port tcp 21 de l'intérieur vers l'extérieur dans la chaine FORWARD, les modules s'occuperont du reste (la réponse du server qui initie la réponse depuis son tcp 20) sans avoir à ajouter d'autres règles.


Message édité par T3K le 02-01-2014 à 17:24:50
n°1350414
elmountass​er
Posté le 04-01-2014 à 23:38:59  profilanswer
 

j ai fait cette solution:
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.21 -d 192.168.10.10 -p tcp --sport 21 --dport 1024: -m state --state ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 20 -m state --state ESTABLISHED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.21 -d 192.168.10.10 -p tcp --sport 20 --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 192.168.10.10 -d 10.21.0.21 -p tcp --sport 1024: --dport 12000:12010 -m state --state ESTABLISHED,RELATED -j ACCEPT
root@ubuntu:~# iptables -A FORWARD -s 10.21.0.10 -d 192.168.10.10 -p tcp --sport 12000:12010 --dport 1024: -m state --state ESTABLISHED -j ACCEPT  
 
le 12000:12010 sont les ports du serveur ftp pour le mode passive et peuvent etres changees dans vsftpd.conf comme ca:
pasv_enable=YES          
pasv_max_port=12000    
pasv_min_port=12010
 
merci


Aller à :
Ajouter une réponse
 

Sujets relatifs
[Résolu] Problème réseau avec iptables, route et virtualboxConfig Iptables & rTorrent
virtual box / iptablesIPtables et deux interfaces LAN
Marquer des paquets avec iptables.[iptables] problème avec des règles.
iptables - snat - conntrack : possible ?Iptables, ouvrir acces
[IPTables] Forward des icmp 
Plus de sujets relatifs à : IPTABLES pour ICMP

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.042 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR