Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1646 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  configuration iptables pour DMZ

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

configuration iptables pour DMZ

n°28598
wadcyr8_19​7
Posté le 19-11-2007 à 16:52:25  profilanswer
 

Salut à tous,
 
je suis en train de simuler avec des vmwares la configuiration de ce réseaux
http://wguizani.free.fr/reseaux.jpg
les machines sont toutes sur des ubuntu-serveur sauf les deux postes admin et attaquant qui sont en xubuntu.
 
J'ai plusieurs contraintes à respecter :  
- mes machines internet à mes réseaux doivent pouvoir se pinguer et pinguer l'extérieur du réseaux
- serveur web accessible sur le port 80 aussi bien de l'intérieur que l'extérieur de mon réseau
- poste admin peut se connecter au serveur web sur le port 8080 pour l'administrer
- serveur web se connecte au serveur base de donnée sur le port 3308
 
j'aurais besoin d'un peu d'aide pour la configuration de iptables sur les deux firewall parce que je galère un peu.
 
au niveau adressage je n'ai pas de problème, si je n'active pas iptables mes 5 machines peuvent se pinguer entre elles mais pas la machine attaquante (normal pas de nat)
 
voici mon plan d'adressage que j'utilise pour ma simulation :  
réseau Internet 123.0.0.0/8
réseau DMZ 172.17.0.0/24 passerelle 172.17.0.254
réseau Serveurs 172.16.8.0/24  passerelle 172.16.8.254
réseau Administration 192.168.0.0 passerelle  192.168.0.254
 
Poste attaquant          Eht0    123.99.99.99  
Pare-Feu Externe  Eth1  123.4.5.6  
Pare-Feu Externe  Eth2  172.17.0.254  
Serveur Web           Eth1   172.17.0.80  
Pare-Feu Interne  Eth1  172.17.0.2  
Pare-Feu Interne  Eth2  172.16.8.254  
Pare-Feu Interne  Eth3  192.168.0.254  
Serveur de BD           Eth1   172.16.8.8  
Poste d’Administration  Eth0 192.168.0.10
 
 
pour le moment, sur le firewall externe j'ai fait ceci
 

Code :
  1. # Vidage des tables
  2. iptables -F
  3. iptables -X
  4. iptables -t nat -F
  5. iptables -t nat -X
  6. # bloquage de tout par defaut
  7. iptables -P INPUT DROP
  8. iptables -P FORWARD DROP
  9. iptables -P OUTPUT DROP
  10. # Mise en place du nat
  11. iptables -t nat -A POSTROUTING -s 172.17.0.0/24 -o eth1 -j MASQUERADE
  12. iptables -t nat -A POSTROUTING -s 172.16.8.0/24 -o eth1 -j MASQUERADE
  13. iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
  14. # descativation du filtrage sur le loopback
  15. iptables -A INPUT -i lo -j ACCEPT
  16. # autorisation de ICMP pour le ping
  17. iptables -A INPUT -p icmp -j ACCEPT
  18. iptables -A OUTPUT -p icmp -j ACCEPT
  19. # Acces serveur web
  20. iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 172.17.0.80:80
  21. iptables -A FORWARD -i eth2 -p tcp --dport 80 -j ACCEPT
  22. iptables -t nat -A POSTROUTING -p tcp -dport 80 -o eth1 -j MASQUERADE


avec ceci sur le firewall extern et la config par défaut sur le firewall interne, je n'arrive à faire des pings qu'à l'intérieurs de mes sous-réseaux, entre les sous réseaux admin et serveur, mais pas avec le réseaux DMZ ou avec l'extérieur
et même mon serveur web n'est pas accessble sur le port 80 par mes deux postes admin et attaquant.
 
Quelqu'un peut m'aider rapidement, je deviens fou et je doit faire ça finir ça pour mardi soir.
 
merci d'avance
Wad

mood
Publicité
Posté le 19-11-2007 à 16:52:25  profilanswer
 

n°28602
Je@nb
Modérateur
Kindly give dime
Posté le 19-11-2007 à 17:14:40  profilanswer
 

Elle est complète là ta conf ?

n°28603
wadcyr8_19​7
Posté le 19-11-2007 à 17:17:06  profilanswer
 

pour le firewall externe ouais, j'ai oublié quelque chose ?
 
sur le FW interne je l'ai juste activé pour le moment mais j'ai pas touché à la configuration encore

n°28606
djalex
Ancien Modérateur
Posté le 19-11-2007 à 17:36:34  profilanswer
 

hmmmmm pourquoi 2 FW ???


---------------
------------------------------------------
n°28608
wadcyr8_19​7
Posté le 19-11-2007 à 18:13:30  profilanswer
 

parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.

n°28609
djalex
Ancien Modérateur
Posté le 19-11-2007 à 18:14:42  profilanswer
 

wadcyr8_197 a écrit :

parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.


 
 
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ :o


---------------
------------------------------------------
n°28610
wadcyr8_19​7
Posté le 19-11-2007 à 18:17:49  profilanswer
 

j'ai pas dis le contraire, mais à l'origine on utilisait deux firewall
maintenant on en prend qu'un plus par soucis d'économie.
mais en l'occurrence, là n'est pas mon problème :d


Message édité par wadcyr8_197 le 19-11-2007 à 18:18:22
n°28611
djalex
Ancien Modérateur
Posté le 19-11-2007 à 18:18:45  profilanswer
 

ah oki .... c'est donc une "vieille structure" que tu as là !!!


Message édité par djalex le 19-11-2007 à 18:18:56

---------------
------------------------------------------
n°28612
wadcyr8_19​7
Posté le 19-11-2007 à 18:21:08  profilanswer
 

appelle là vieille si tu veux, mais là n'est pas mon problème donc pour l'instant ce point là m'importe peu.

n°28613
Je@nb
Modérateur
Kindly give dime
Posté le 19-11-2007 à 19:10:34  profilanswer
 

Concernant la conf ouais j'ai l'impression qu'il manque des choses tel que déjà l'output pour lo
 

djalex a écrit :


 
 
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ :o


 
Ya deux modèles principaux : le firewall à 3 pates ou le firewall front end/back end qu'on trouve ici. Au final c'est similaire, faut voir en fonction de la charge, de la protection voulue (typiquement on met pas le même FW en front et en back :D pour une sécu accrue) etc.

mood
Publicité
Posté le 19-11-2007 à 19:10:34  profilanswer
 

n°28618
wadcyr8_19​7
Posté le 19-11-2007 à 19:57:13  profilanswer
 

oui, pour lo c'est corrigé j'ai oublié de la remettre.
mais je ne pense pas que ça change grand chose. Pour le moment mon principale objectif c'est pouvoir lancer des ping entre les différents postes et rendre le serveur web accessible.

n°28620
Je@nb
Modérateur
Kindly give dime
Posté le 19-11-2007 à 20:00:35  profilanswer
 

Décrit les flux à faire passer et transcrit le en syntaxe iptables en regardant bien le fonctionnement de chaque chain et en pensant aux paquets entrant et sortant

n°28623
wadcyr8_19​7
Posté le 19-11-2007 à 20:22:35  profilanswer
 

ben c'est ce que j'essaie de faire mais je vois pas trop comment faire ma chose juste pour un ping
normalement j'ai mon icmp qui doit entrer et sortir ou j'oublie quelque chose ?

n°28624
Je@nb
Modérateur
Kindly give dime
Posté le 19-11-2007 à 20:26:12  profilanswer
 

Là ta règle dit que les paquets icmp (donc pas que le ping) peuvent sortir du firewall ou arriver sur le firewall.
Ils peuvent pas traverser.
Donc une machine de la DMZ peut pinger le firewall et une machine du net peut la pinger aussi.

n°28626
wadcyr8_19​7
Posté le 19-11-2007 à 20:40:08  profilanswer
 

donc il faudrait que je rajoute un forward aussi pour icmp
après pour la spécification du ping c'est des icmp-type 0 et 8 non ?

n°28627
Je@nb
Modérateur
Kindly give dime
Posté le 19-11-2007 à 20:42:13  profilanswer
 

oui :)

n°28631
wadcyr8_19​7
Posté le 19-11-2007 à 21:09:46  profilanswer
 

il me manque autre chose, parce que là maintenant
depuis le serveur web :
je ping les deux FW, mais pas le serveur BD ni les deux postes attaquant et administrateur
 
en faisant un tcpdump ça confirme ce que je pensais, le FW externe est toujour bloquant et je comprends pas pourquoi ?


Message édité par wadcyr8_197 le 19-11-2007 à 21:09:58
n°28642
wadcyr8_19​7
Posté le 19-11-2007 à 23:41:51  profilanswer
 

quelqu'un a une idée de pourquoi ça marche pas ???


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  configuration iptables pour DMZ

 

Sujets relatifs
Configuration RaidConfiguration des imprimantes
Aide pour configuration 3com 4500Serveur SMTP dans DMZ ISA 2004
dell poweredge 4200/300 impossible de rentrer la configuration"f10"configuration poste invité ??
question configuration/réseau freebox wifiConfiguration de Zone Alarm version "free"
DMZ - IP Publiques 
Plus de sujets relatifs à : configuration iptables pour DMZ


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR