regles iptables

Marsh Posté le 18-10-2007 à 15:26:17

Bonjour,

Je dois mettre en place un petit firewall sous iptables pr mon reseau local.
J'explique brièvement mes interfaces :
eth0 => chaine wan
La classe d’@IP 192.168.0.0/24 correspond au LAN sur l’interface eth1 => chaine lan
La classe d’@IP 192.168.1.0 correspond à la DMZ sur l’interface eth2 => chaine dmz

J'ai installé un squid en tant que proxy qui fonctionne si l'on active le "masquerading" mais dès que j'active mes règles, impossible de se connecter depuis le LAN, en passant ou pas par le proxy.
En me documentant un peu j'ai vu que ça pouvait venir du dns mais il me semble que ds mes règles (entre les chaines) il devrait passer....
enfin là je coince...

Voici mon script :

Code :

#!/bin/sh
# Script Iptables
# Cree le 15/10/07 by Drik
# Activation du forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Chargement du module ip_tables
modprobe ip_tables
# chargement de modules supplementaires
modprobe iptable_filter
modprobe iptable_nat
modprobe iptable_mangle
# On vide ttes les tables par defaut
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
echo - Vidage des tables : [OK]
# Politique par defaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
echo - TT REFUSER PAR DEFAUT : [OK]
# Creation chaines
iptables -N lan-wan
iptables -N lan-dmz
iptables -N lan-fw
iptables -N dmz-wan
iptables -N dmz-lan
iptables -N dmz-fw
iptables -N wan-dmz
iptables -N wan-fw
echo - Creation des chaines : [OK]
# ETATS en INPUT
# On accepte les connexions venant de lo
iptables -A INPUT -i lo -j ACCEPT
# Et si la connexion est etablie ESTABLISHED ou assimilable a une connexion etablie RELATED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Si l'etat de la connexion est INVALID, on ignore le paquet
iptables -A INPUT -m state --state INVALID -j DROP
# Toute communication TCP doit commencer par un paquet comportant le flag SYN et uniquement celui-ci, si ce n'est pas le cas, on rejette la connexion
iptables -A INPUT -m state --state NEW -p TCP --tcp-flags ! ALL SYN -j DROP
# Enfin, on trie les connexions entrantes selon les interfaces
iptables -A INPUT -i eth0 -j wan-fw
iptables -A INPUT -i eth2 -j dmz-fw
iptables -A INPUT -j DROP
echo - Refuser les connexions entrantes en INPUT : [OK]
# LOGS de ces ETATS
iptables -A INPUT -m limit --limit 3/s -j LOG --log-prefix "Bad INPUT: "
iptables -A INPUT -p TCP --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 3/s -j LOG --log-prefix "INPUT TCP sans SYN: "
echo - Log des Etats en INPUT : [OK]
# ETATS et LOG en FORWARD
iptables -A FORWARD -m state --state INVALID -m limit --limit 3/s -j LOG --log-prefix "INVALID FORWARD: "
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p TCP --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 3/s -j LOG --log-prefix "FORWARD TCP sans SYN: "
iptables -A FORWARD -p TCP --tcp-flags ! ALL SYN -m state --state NEW -j DROP
iptables -A FORWARD -i eth2 -o eth0 -j dmz-wan
iptables -A FORWARD -i eth2 -o eth1 -j dmz-lan
iptables -A FORWARD -i eth0 -o eth2 -j wan-dmz
iptables -A FORWARD -i eth1 -o eth2 -j lan-dmz
iptables -A FORWARD -j LOG -m limit --limit 3/s --log-prefix "BAD FORWARD "
iptables -A FORWARD -j DROP
echo - Refuser le FORWARD pr certaines chaines : [OK]
# ETATS EN OUTPUT
iptables -A OUTPUT -j ACCEPT
echo - Autoriser OUTPUT a sortir : [OK]
# REGLES DE FILTRAGE
# LAN
iptables -A lan-wan -j ACCEPT
iptables -A lan-fw -j ACCEPT
echo - Autoriser le lan a sortir : [OK]
# DMZ
iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport http -j ACCEPT
iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport https -j ACCEPT
iptables -A lan-dmz -p TCP -d 192.168.1.1 --dport ssh -j ACCEPT
echo - Autoriser 22,80,443 a partir du LAN sur 192.168.1.1 - DMZ : [OK]
iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport http -j ACCEPT
iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport https -j ACCEPT
iptables -A wan-dmz -p TCP -d 192.168.1.1 --dport ssh -j ACCEPT
echo - Autoriser 22,80,443 a partir du WAN sur 192.168.1.1 - DMZ : [OK]
iptables -A dmz-wan -p TCP -s 192.168.1.1 --dport http -j ACCEPT
iptables -A dmz-wan -p TCP -s 192.168.1.1 --dport https -j ACCEPT
iptables -A dmz-wan -p TCP --dport 53 -j ACCEPT
iptables -A dmz-wan -p UDP --dport 53 -j ACCEPT
echo - Autoriser la DMZ a sortir sur 80,443 et 53 : [OK]
# MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# NAT DMZ
iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport http --to-destination 192.168.1.1
iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport https --to-destination 192.168.1.1
iptables -t nat -A PREROUTING -j DNAT -i eth0 -p TCP --dport ssh --to-destination 192.168.1.1
# PROXY TRANSPARENT
iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo - PROXY TRANSPARENT sur 80 : [OK]

Je vous remercie.

Reply

Marsh Posté le 18-10-2007 à 15:26:17

Reply

Marsh Posté le 18-10-2007 à 17:02:33

manque pas un iptables -A INPUT -i eth1 -j lan-fw

?? car il y a rien qui va dans lan-fw puisqu'il n'y a pas de règle

Message cité 1 fois

Reply

Marsh Posté le 18-10-2007 à 19:26:45

Je@nb a écrit :

manque pas un iptables -A INPUT -i eth1 -j lan-fw

?? car il y a rien qui va dans lan-fw puisqu'il n'y a pas de règle

En gros, tu me conseilles de rajouter ceci ?

Code :

iptables -A INPUT -i eth1 -j lan-wan
iptables -A INPUT -i eth1 -j lan-fw
iptables -A INPUT -j ACCEPT

La question que je me posais était : est ce que le fait de créer ces regles n'annulent pas celles que j'ai créées aussi en INPUT ms qui st en DROP ??

Message cité 1 fois

Reply

Marsh Posté le 19-10-2007 à 12:44:40

drik a écrit :

En gros, tu me conseilles de rajouter ceci ?

Code :

iptables -A INPUT -i eth1 -j lan-wan
iptables -A INPUT -i eth1 -j lan-fw
iptables -A INPUT -j ACCEPT

La question que je me posais était : est ce que le fait de créer ces regles n'annulent pas celles que j'ai créées aussi en INPUT ms qui st en DROP ??

Je viens de rajouter ces lignes.....marche tjrs pas...
J'ai testé aussi avec ces lignes :

Code :

iptables -A lan-wan -p TCP --dport 53 -j ACCEPT
iptables -A lan-wan -p UDP --dport 53 -j ACCEPT

Tjrs pas d'Internet à partir du LAN ....????

Reply

Marsh Posté le 20-10-2007 à 21:12:29

Je comprend pas trop ta démarche, tu semble débuter (mais je me trompe peut être) avec Netfilter, pourquoi n'essayes tu pas de creer ton propre firewall ? Tu commences en n'acceptant rien, et ensuite tu ouvres petit a petit (mais avec des regles simples).

Concernant tes deux derniere règle c'est juste pour que le lan puisse faire une requete dns (port 53).

Message cité 1 fois
Message édité par kenshln le 20-10-2007 à 21:13:31

Reply

Marsh Posté le 22-10-2007 à 14:52:38

kenshln a écrit :

Je comprend pas trop ta démarche, tu semble débuter (mais je me trompe peut être) avec Netfilter, pourquoi n'essayes tu pas de creer ton propre firewall ? Tu commences en n'acceptant rien, et ensuite tu ouvres petit a petit (mais avec des regles simples).

Concernant tes deux derniere règle c'est juste pour que le lan puisse faire une requete dns (port 53).

Pr répondre à ta remarque, mon idée générale est de créer des chaines comme je l'ai fait au début pour pouvoir ensuite créer des règles en me basant dessus.
Il est vrai qu'il y a pas mal de règles qui concernent ici la DMZ ou des logs sur les paquets sans SYN ou autres ms j'ai essayé comme tu l'a dit en premier de créer mes chaines, d'interdire tt par defaut et autoriser au fur et à mesure.
Je ne pense pas vouloir faire un script super compliqué et mes règles me paraissent simples...ms je pense que mon erreur vient de mes chaines en INPUT ... arretez moi si je me trompe !!!

Comme tu dis, je peux très bien créer un autre script avec des règles très basiques, je peux aussi utiliser shorewall et pas m'emmerder avec tt ça c'est sûr, mais le but de mon post c'est de faire marcher ceci et pas de tt recommencer...
Pouvez-vous m'éclairer ???

Reply

regles iptables

Sujets relatifs:

Leave a Replay