Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1444 connectés 

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

regles iptables

n°966092
drik
Posté le 18-10-2007 à 15:26:17  profilanswer
 

Bonjour,
 
Je dois mettre en place un petit firewall sous iptables pr mon reseau local.
J'explique brièvement mes interfaces :
eth0 => chaine wan
La classe d’@IP 192.168.0.0/24 correspond au LAN sur l’interface eth1 => chaine lan
La classe d’@IP 192.168.1.0 correspond à la DMZ sur l’interface eth2 => chaine dmz
 
J'ai installé un squid en tant que proxy qui fonctionne si l'on active le "masquerading" mais dès que j'active mes règles, impossible de se connecter depuis le LAN, en passant ou pas par le proxy.
En me documentant un peu j'ai vu que ça pouvait venir du dns mais il me semble que ds mes règles (entre les chaines) il devrait passer....
enfin là je coince...
 
Voici mon script :

Code :
  1. #!/bin/sh
  2. # Script Iptables
  3. # Cree le 15/10/07 by Drik
  5. # Activation du forwarding
  6. echo 1 > /proc/sys/net/ipv4/ip_forward
  8. # Chargement du module ip_tables
  9. modprobe ip_tables
  11. # chargement de modules supplementaires
  12. modprobe iptable_filter
  13. modprobe iptable_nat
  14. modprobe iptable_mangle
  17. # On vide ttes les tables par defaut
  18. iptables -F
  19. iptables -t nat -F
  20. iptables -t mangle -F
  21. iptables -X
  22. echo - Vidage des tables : [OK]
  25. # Politique par defaut
  26. iptables -P INPUT DROP
  27. iptables -P OUTPUT DROP
  28. iptables -P FORWARD DROP
  29. echo - TT REFUSER PAR DEFAUT : [OK]
  32. # Creation chaines
  33. iptables -N lan-wan
  34. iptables -N lan-dmz
  35. iptables -N lan-fw
  36. iptables -N dmz-wan
  37. iptables -N dmz-lan
  38. iptables -N dmz-fw
  39. iptables -N wan-dmz
  40. iptables -N wan-fw
  41. echo - Creation des chaines : [OK]
  44. # ETATS en INPUT
  45. # On accepte les connexions venant de lo
  46. iptables -A INPUT   -i lo -j ACCEPT
  48. # Et si la connexion est etablie ESTABLISHED ou assimilable a une connexion etablie RELATED
  49. iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
  51. # Si l'etat de la connexion est INVALID, on ignore le paquet
  52. iptables -A INPUT   -m state --state INVALID -j DROP
  54. # Toute communication TCP doit commencer par un paquet comportant le flag SYN et uniquement celui-ci, si ce n'est pas le cas, on rejette la connexion
  55. iptables -A INPUT   -m state --state NEW -p TCP --tcp-flags ! ALL SYN -j DROP
  57. # Enfin, on trie les connexions entrantes selon les interfaces
  58. iptables -A INPUT   -i eth0 -j wan-fw
  59. iptables -A INPUT   -i eth2 -j dmz-fw
  60. iptables -A INPUT   -j DROP
  61. echo - Refuser les connexions entrantes en INPUT : [OK]
  64. # LOGS de ces ETATS
  65. iptables -A INPUT   -m limit --limit 3/s -j LOG --log-prefix "Bad INPUT: "
  66. iptables -A INPUT   -p TCP --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 3/s -j LOG --log-prefix "INPUT TCP sans SYN: "
  67. echo - Log des Etats en INPUT : [OK]
  70. # ETATS et LOG en FORWARD
  71. iptables -A FORWARD -m state --state INVALID -m limit --limit 3/s -j LOG --log-prefix "INVALID FORWARD: "
  72. iptables -A FORWARD -m state --state INVALID -j DROP
  73. iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
  74. iptables -A FORWARD -p TCP --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 3/s -j LOG --log-prefix "FORWARD TCP sans SYN: "
  75. iptables -A FORWARD -p TCP --tcp-flags ! ALL SYN -m state --state NEW -j DROP
  76. iptables -A FORWARD -i eth2 -o eth0 -j dmz-wan
  77. iptables -A FORWARD -i eth2 -o eth1 -j dmz-lan
  78. iptables -A FORWARD -i eth0 -o eth2 -j wan-dmz
  79. iptables -A FORWARD -i eth1 -o eth2 -j lan-dmz
  80. iptables -A FORWARD -j LOG -m limit --limit 3/s --log-prefix "BAD FORWARD "
  81. iptables -A FORWARD -j DROP
  82. echo - Refuser le FORWARD pr certaines chaines : [OK]
  85. # ETATS EN OUTPUT
  86. iptables -A OUTPUT -j ACCEPT
  87. echo - Autoriser OUTPUT a sortir : [OK]
  90. # REGLES DE FILTRAGE
  91. # LAN
  92. iptables -A lan-wan -j ACCEPT
  93. iptables -A lan-fw -j ACCEPT
  94. echo - Autoriser le lan a sortir : [OK]
  96. # DMZ
  97. iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport http -j ACCEPT
  98. iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport https -j ACCEPT
  99. iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport ssh -j ACCEPT
  100. echo - Autoriser 22,80,443 a partir du LAN sur 192.168.1.1 - DMZ : [OK]
  102. iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport http -j ACCEPT
  103. iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport https -j ACCEPT
  104. iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport ssh -j ACCEPT
  105. echo - Autoriser 22,80,443 a partir du WAN  sur 192.168.1.1 - DMZ : [OK]
  107. iptables -A dmz-wan -p TCP -s 192.168.1.1 --dport http -j ACCEPT
  108. iptables -A dmz-wan -p TCP -s 192.168.1.1 --dport https -j ACCEPT
  109. iptables -A dmz-wan -p TCP --dport 53 -j ACCEPT
  110. iptables -A dmz-wan -p UDP --dport 53 -j ACCEPT
  111. echo - Autoriser la DMZ a sortir sur 80,443 et 53 : [OK]
  114. # MASQUERADE
  115. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  118. # NAT DMZ
  119. iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport http --to-destination 192.168.1.1
  120. iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport https --to-destination 192.168.1.1
  121. iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport ssh --to-destination 192.168.1.1
  124. # PROXY TRANSPARENT
  125. iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
  126. echo - PROXY TRANSPARENT sur 80 : [OK]


 
 
Je vous remercie.

mood
Publicité
Posté le 18-10-2007 à 15:26:17  profilanswer
 

n°966093
Je@nb
Kindly give dime
Posté le 18-10-2007 à 17:02:33  profilanswer
 

manque pas un iptables -A INPUT   -i eth1 -j lan-fw  
 
?? car il y a rien qui va dans lan-fw puisqu'il n'y a pas de règle

Message cité 1 fois
n°966114
drik
Posté le 18-10-2007 à 19:26:45  profilanswer
 

Je@nb a écrit :

manque pas un iptables -A INPUT   -i eth1 -j lan-fw  
 
?? car il y a rien qui va dans lan-fw puisqu'il n'y a pas de règle


 
En gros, tu me conseilles de rajouter ceci ?
 

Code :
  1. iptables -A INPUT   -i eth1 -j lan-wan
  2. iptables -A INPUT   -i eth1 -j lan-fw
  3. iptables -A INPUT   -j ACCEPT


 
La question que je me posais était : est ce que le fait de créer ces regles n'annulent pas celles que j'ai créées aussi en INPUT ms qui st en DROP ??

Message cité 1 fois
n°966427
drik
Posté le 19-10-2007 à 12:44:40  profilanswer
 

drik a écrit :


 
En gros, tu me conseilles de rajouter ceci ?
 

Code :
  1. iptables -A INPUT   -i eth1 -j lan-wan
  2. iptables -A INPUT   -i eth1 -j lan-fw
  3. iptables -A INPUT   -j ACCEPT


 
La question que je me posais était : est ce que le fait de créer ces regles n'annulent pas celles que j'ai créées aussi en INPUT ms qui st en DROP ??


 
Je viens de rajouter ces lignes.....marche tjrs pas...
J'ai testé aussi avec ces lignes :
 

Code :
  1. iptables -A lan-wan -p TCP --dport 53 -j ACCEPT
  2. iptables -A lan-wan -p UDP --dport 53 -j ACCEPT


 
 
Tjrs pas d'Internet à partir du LAN ....????

n°967030
kenshln
Posté le 20-10-2007 à 21:12:29  profilanswer
 

Je comprend pas trop ta démarche, tu semble débuter (mais je me trompe peut être) avec Netfilter, pourquoi n'essayes tu pas de creer ton propre firewall ? Tu commences en  n'acceptant rien, et ensuite tu ouvres petit a petit (mais avec des regles simples).
 
Concernant tes deux derniere règle c'est juste pour que le lan puisse faire une requete dns (port 53).

Message cité 1 fois
Message édité par kenshln le 20-10-2007 à 21:13:31
n°967657
drik
Posté le 22-10-2007 à 14:52:38  profilanswer
 

kenshln a écrit :

Je comprend pas trop ta démarche, tu semble débuter (mais je me trompe peut être) avec Netfilter, pourquoi n'essayes tu pas de creer ton propre firewall ? Tu commences en  n'acceptant rien, et ensuite tu ouvres petit a petit (mais avec des regles simples).
 
Concernant tes deux derniere règle c'est juste pour que le lan puisse faire une requete dns (port 53).


 
 
Pr répondre à ta remarque, mon idée générale est de créer des chaines comme je l'ai fait au début pour pouvoir ensuite créer des règles en me basant dessus.
Il est vrai qu'il y a pas mal de règles qui concernent ici la DMZ ou des logs sur les paquets sans SYN ou autres ms j'ai essayé comme tu l'a dit en premier de créer mes chaines, d'interdire tt par defaut et autoriser au fur et à mesure.
Je ne pense pas vouloir faire un script super compliqué et mes règles me paraissent simples...ms je pense que mon erreur vient de mes chaines en INPUT ... arretez moi si je me trompe !!!
 
Comme tu dis, je peux très bien créer un autre script avec des règles très basiques, je peux aussi utiliser shorewall et pas m'emmerder avec tt ça c'est sûr, mais le but de mon post c'est de faire marcher ceci et pas de tt recommencer...
Pouvez-vous m'éclairer ??? ;)


Aller à :
Ajouter une réponse
 

Sujets relatifs
Mise en place de règles iptables pour un firewallProblèmes de règles IPtables...
Règles iptables avec fwbuilder[Topic unique] Regles iptables: Securiser un serveur
modifier regles iptables en fonction de l'applicationrègles iptables modifie ma passerelle
Mes regles IPTABLES ne marchent pas[iptables] règles de forward
Regles iptables pour coyote linux (a du mal)[iptables] Bonne regles ou gruyère à l'horizon ?
Plus de sujets relatifs à : regles iptables

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.061 secondes

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)