Salut à tous,
 
je suis en train de simuler avec des vmwares la configuiration de ce réseaux

les machines sont toutes sur des ubuntu-serveur sauf les deux postes admin et attaquant qui sont en xubuntu.
 
J'ai plusieurs contraintes à respecter :  
- mes machines internet à mes réseaux doivent pouvoir se pinguer et pinguer l'extérieur du réseaux
- serveur web accessible sur le port 80 aussi bien de l'intérieur que l'extérieur de mon réseau
- poste admin peut se connecter au serveur web sur le port 8080 pour l'administrer
- serveur web se connecte au serveur base de donnée sur le port 3308
 
j'aurais besoin d'un peu d'aide pour la configuration de iptables sur les deux firewall parce que je galère un peu.
 
au niveau adressage je n'ai pas de problème, si je n'active pas iptables mes 5 machines peuvent se pinguer entre elles mais pas la machine attaquante (normal pas de nat)
 
voici mon plan d'adressage que j'utilise pour ma simulation :  
réseau Internet 123.0.0.0/8
réseau DMZ 172.17.0.0/24 passerelle 172.17.0.254
réseau Serveurs 172.16.8.0/24  passerelle 172.16.8.254
réseau Administration 192.168.0.0 passerelle  192.168.0.254
 
Poste attaquant          Eht0    123.99.99.99  
Pare-Feu Externe  Eth1  123.4.5.6  
Pare-Feu Externe  Eth2  172.17.0.254  
Serveur Web           Eth1   172.17.0.80  
Pare-Feu Interne  Eth1  172.17.0.2  
Pare-Feu Interne  Eth2  172.16.8.254  
Pare-Feu Interne  Eth3  192.168.0.254  
Serveur de BD           Eth1   172.16.8.8  
Poste d’Administration  Eth0 192.168.0.10
 
 
pour le moment, sur le firewall externe j'ai fait ceci
 

avec ceci sur le firewall extern et la config par défaut sur le firewall interne, je n'arrive à faire des pings qu'à l'intérieurs de mes sous-réseaux, entre les sous réseaux admin et serveur, mais pas avec le réseaux DMZ ou avec l'extérieur
et même mon serveur web n'est pas accessble sur le port 80 par mes deux postes admin et attaquant.
 
Quelqu'un peut m'aider rapidement, je deviens fou et je doit faire ça finir ça pour mardi soir.
 
merci d'avance
Wad

Elle est complète là ta conf ?

pour le firewall externe ouais, j'ai oublié quelque chose ?
 
sur le FW interne je l'ai juste activé pour le moment mais j'ai pas touché à la configuration encore

hmmmmm pourquoi 2 FW ???

parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.

 
 
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ

j'ai pas dis le contraire, mais à l'origine on utilisait deux firewall
maintenant on en prend qu'un plus par soucis d'économie.
mais en l'occurrence, là n'est pas mon problème

ah oki .... c'est donc une "vieille structure" que tu as là !!!

appelle là vieille si tu veux, mais là n'est pas mon problème donc pour l'instant ce point là m'importe peu.

Concernant la conf ouais j'ai l'impression qu'il manque des choses tel que déjà l'output pour lo
 

 
Ya deux modèles principaux : le firewall à 3 pates ou le firewall front end/back end qu'on trouve ici. Au final c'est similaire, faut voir en fonction de la charge, de la protection voulue (typiquement on met pas le même FW en front et en back pour une sécu accrue) etc.

oui, pour lo c'est corrigé j'ai oublié de la remettre.
mais je ne pense pas que ça change grand chose. Pour le moment mon principale objectif c'est pouvoir lancer des ping entre les différents postes et rendre le serveur web accessible.

Décrit les flux à faire passer et transcrit le en syntaxe iptables en regardant bien le fonctionnement de chaque chain et en pensant aux paquets entrant et sortant

ben c'est ce que j'essaie de faire mais je vois pas trop comment faire ma chose juste pour un ping
normalement j'ai mon icmp qui doit entrer et sortir ou j'oublie quelque chose ?

Là ta règle dit que les paquets icmp (donc pas que le ping) peuvent sortir du firewall ou arriver sur le firewall.
Ils peuvent pas traverser.
Donc une machine de la DMZ peut pinger le firewall et une machine du net peut la pinger aussi.

donc il faudrait que je rajoute un forward aussi pour icmp
après pour la spécification du ping c'est des icmp-type 0 et 8 non ?

oui

il me manque autre chose, parce que là maintenant
depuis le serveur web :
je ping les deux FW, mais pas le serveur BD ni les deux postes attaquant et administrateur
 
en faisant un tcpdump ça confirme ce que je pensais, le FW externe est toujour bloquant et je comprends pas pourquoi ?

quelqu'un a une idée de pourquoi ça marche pas ???