[ip tables-linux] passerelle, http, ftp

passerelle, http, ftp [ip tables-linux] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 20-03-2004 à 11:02:50    

Je posséde un pc avec deux interfaces : eth0(interface internet 192.168.50.206)et eth1(interface externe 192.168.0.206). Il fonctionne sous mandrake 9.2 et iptables 1.2.8.
Je cherche à me connecter à un serveur sur le réseau externe à partir du réseau interne. Je pense avoir fixé les bonnes régles mais n'en suis pas sur car je n'arrive ni a accéder au serveur ftp, ni au serveur web tournant sur le même poste.  
 
@ipserveur 192.168.50.208
@ipclient 192.168.0.205
 
Voici le script de flush des tables et régles:
 
 

Code :
  1. #!/bin/sh
  3. #Script de remise à zéro des régles iptables
  5. echo "[flush des regles iptables]"
  7. #Remise des polices par défaut a ACCEPT
  9. iptables -P INPUT ACCEPT
  10. iptables -P FORWARD ACCEPT
  11. iptables -P OUTPUT ACCEPT
  13. #Remise par defaut des polices de la table NAT
  15. iptables -t nat -P PREROUTING ACCEPT
  16. iptables -t nat -P POSTROUTING ACCEPT
  17. iptables -t nat -P OUTPUT ACCEPT
  19. #On vide les régles existantes
  21. iptables -F
  22. iptables -t nat -F
  24. #On efface toutes les régles qui ne sont pas par défaut
  25. #dans les tables filter et nat
  27. iptables -X
  28. iptables -t nat -X
  30. echo "[flush des regles iptables effectue]"


 
 
 
Voici le script des régles http:
 

Code :
  1. #!/bin/sh
  4. #######################################################
  5. #            #
  6. #  Préparation du script        #
  7. #            #
  8. #######################################################
  10. #définition des variables d'environnement
  11. EXT_IF="eth0"
  12. INT_IF="eth1"
  13. AD_PROXY="172.16.1.132:3128"
  14. AD_LAN="192.168.0.0/24"
  17. #activation du forwarding (l'ordinateur fait office de routeur).
  19. echo 1 > /proc/sys/net/ipv4/ip_forward
  22. #Nous allons insérer une petite astuce pour éviter le spoofing
  23. #(technique de piratage).
  25. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  26. then
  27.   for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  28.   do
  29.     echo 1 > $filtre
  30.   done
  31. fi
  34. #puis une petite régle pour éviter les icmp (ping, etc...)
  36. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  37. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  40. # On désactive le routage par la source, les attaquants peuvent
  41. # envoyer des paquets pouvant "provenir" de votre réseau.
  42. # Le routage par la source est rarement utilisé légitimement.
  44. echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
  47. # Désactive la redirection des ICMP, celle-ci peut être utilisée
  48. # pour décrouvrir notre réseau.
  50. for interface in /proc/sys/net/ipv4/conf/*/accept_redirects; do
  51.    echo 0 > ${interface}
  52. done
  55. # Nous loggons tous les paquets spoofés, routés à  la source
  56. # et redirigés.
  58. /bin/echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
  61. # Nous effaçons toutes les régles (on les flush).
  63. iptables -F
  64. iptables -X
  67. # Ajout de deux nouvelles chaines, nous rajoutons ainsi des
  68. # cibles, nous loggerons les évènements.
  70. # logging du paquet et rejet avec ajout d'une chaine de caractéres
  71. # pour pouvoir nous y retrouver dans les fichiers de log
  73. iptables -N LOG_DROP
  74. iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
  75. iptables -A LOG_DROP -j DROP
  78. # par défaut nous refuserons tous les paquets
  80. iptables -P INPUT DROP
  81. iptables -P OUTPUT DROP
  82. iptables -P FORWARD DROP
  85. # Nous accepterons tout ce qui vient de l'interface
  86. # locale.
  88. iptables -A INPUT  -i lo -j ACCEPT
  89. iptables -A OUTPUT -o lo -j ACCEPT
  92. #########################################################
  93. #       #
  94. # Voila nous avons terminée la préparation,       #
  95. # passons maintenant à  la configuration du        #
  96. # firewall en lui-même.    #
  97. #       #
  98. #########################################################
  101. # Translation d'adresses pour tout ce qui traverse la passerelle
  102. # en sortant par l'interface externe
  103. iptables -t nat -A POSTROUTING -o $EXT_IF -j MASQUERADE
  105. ## WWW
  107. # On permet le surf sur le port 80
  109. iptables -A INPUT  -i $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
  110. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  113. # Permission du surf sur le port 443 (https: http sécurisé)
  115. iptables -A INPUT  -i $EXT_IF -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
  116. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
  119. ## FTP
  120. # Permet les connexions ftp.
  122. iptables -A INPUT  -i $EXT_IF -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
  123. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  126. # Maintenant le suivi de connexions
  127. # 1) Ftp Activ.
  128. # Ceci comporte un raccordement d'arrivée du port 20 sur la machine distante, à  un port local
  129. # passé au-dessus du canal ftp par l'intermédiaire d'une commande RELATED.  Le module
  130. # ip_conntrack_ftp identifie le raccordement par rapport au raccordement sortant original au
  131. # port 21, ainsi nous n'avons pas besoin de NEW comme état.
  133. iptables -A INPUT  -i $EXT_IF -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  134. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
  136. # 2) Ftp Passif.
  138. iptables -A INPUT  -i $EXT_IF -p tcp --sport 1024: --dport 1024: \
  139.   -m state --state ESTABLISHED -j ACCEPT
  140. iptables -A OUTPUT -o $EXT_IF -p tcp --sport 1024: --dport 1024: \
  141.   -m state --state ESTABLISHED,RELATED -j ACCEPT
  144. # Il est nécessaire de logguer tous les paquets qui n'ont pas passé nos régles
  146. iptables -A FORWARD -j LOG_DROP
  147. iptables -A INPUT -j LOG_DROP
  148. iptables -A OUTPUT -j LOG_DROP


 
Est-ce une erreur de ma part ? Quel est le problème ?
Merci de votre aide :hello:


Message édité par nodus le 20-03-2004 à 11:11:49
Reply

Marsh Posté le 20-03-2004 à 11:02:50   

Reply

Marsh Posté le 20-03-2004 à 11:08:57    

Salut,
 
d'après ce que je comprend de tes règles, tu n'autorises que ce qui rentres et sort de la passerelle ; à aucun moment tu n'autorises quoique ce soit à traverser ta passerelle (chaine FORWARD)


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 20-03-2004 à 11:18:30    

Voici ce que je viens de rajouter dans le fichier de régles, j'en ai profité pour effacer régles contre les pings.
 
 

Code :
  1. iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE


 
Le but est simplement d'avoir une passerelle effectuant du filtrage de paquet, ne permettant que l'accés web et ftp que dans un sens (le dns est il nécessaire ?). Le réseau externe ne doit pas voir le réseau interne mais l'inverse doit etre possible...
Rien de trés dur apparament mais je galére... :cry:


Message édité par nodus le 20-03-2004 à 11:26:17
Reply

Marsh Posté le 20-03-2004 à 11:21:04    

est ce que tu pourrais décrire plus précisément ton réseau parce que je ne comprends rien au plan d'adressage là et aux interfaces


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 20-03-2004 à 11:34:17    

Mjules a écrit :

est ce que tu pourrais décrire plus précisément ton réseau parce que je ne comprends rien au plan d'adressage là et aux interfaces


 
Je ne peut faire un schéma n'ayant pas accés au ftp depuis ce réseau (proxy powered  :fou: ) mais je vais essayer de vous expliquer :
 
serveur                                                   client
192.168.50.208                                          192.168.0.205
(------)                   (----------)                  (-------)
( web  )--------------(passerelle)-------------(            )
( ftp    )              eth0(               ) eth1          (            )
(------)192.168.50.206(----------)192.168.0.206(-------)
 
 
J'espere que ça serait assez clair  :)


Message édité par nodus le 20-03-2004 à 11:36:54
Reply

Marsh Posté le 20-03-2004 à 11:38:08    

ah oui, là, c'est plus clair
 
si tu ajoutes ces 2 lignes là ; tu as accès au web depuis le réseau ?
 
iptables -A FORWARD  -i $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -o $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 20-03-2004 à 11:47:16    

Mjules a écrit :

ah oui, là, c'est plus clair
 
si tu ajoutes ces 2 lignes là ; tu as accès au web depuis le réseau ?
 
iptables -A FORWARD  -i $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -o $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT  


 
 
Nop, rien du tout. Est ce que je dois rajouter des entrées dans les tables de routage du firewall ?


Message édité par nodus le 20-03-2004 à 11:47:25
Reply

Marsh Posté le 20-03-2004 à 11:52:33    

Voici ce que me retourne la commande iptables -L :
 

Code :
  1. Chain INPUT (policy DROP)
  2. target     prot opt source               destination       
  3. ACCEPT     all  --  anywhere             anywhere         
  4. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:http state ESTABLISHED
  5. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:https state ESTABLISHED
  6. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:ftp state ESTABLISHED
  7. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:ftp-data state RELATED,ESTABLISHED
  8. ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpts:1024:65535 state ESTABLISHED
  9. LOG_DROP   all  --  anywhere             anywhere         
  11. Chain FORWARD (policy DROP)
  12. target     prot opt source               destination       
  13. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:http state ESTABLISHED
  14. ACCEPT     tcp  --  anywhere             anywhere           tcp spt:http state NEW,ESTABLISHED
  15. LOG_DROP   all  --  anywhere             anywhere         
  17. Chain OUTPUT (policy DROP)
  18. target     prot opt source               destination       
  19. ACCEPT     all  --  anywhere             anywhere         
  20. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:http state NEW,ESTABLISHED
  21. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:https state NEW,ESTABLISHED
  22. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp state NEW,ESTABLISHED
  23. ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:ftp-data state ESTABLISHED
  24. ACCEPT     tcp  --  anywhere             anywhere           tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
  25. LOG_DROP   all  --  anywhere             anywhere         
  27. Chain LOG_DROP (3 references)
  28. target     prot opt source               destination       
  29. LOG        all  --  anywhere             anywhere           LOG level warning prefix `[IPTABLES DROP] : '
  30. DROP       all  --  anywhere             anywhere

Reply

Marsh Posté le 20-03-2004 à 11:53:01    

Question bête, c'est normal le anywhere ?

Reply

Marsh Posté le 22-03-2004 à 10:51:17    

:bounce:


---------------
Et toi, tu crois que les ours polaires vont chier dans les bois ?
Reply

Marsh Posté le 22-03-2004 à 10:51:17   

Reply

Marsh Posté le 23-03-2004 à 11:50:50    

:bounce:


---------------
Et toi, tu crois que les ours polaires vont chier dans les bois ?
Reply

Marsh Posté le 23-03-2004 à 11:55:31    

Si tu utilises kde essaie ce soft : http://kmyfirewall.sourceforge.net/
 
Je pense qu'il va t'aider pour configurer tout ca

Reply

Marsh Posté le 24-03-2004 à 10:22:06    

Merci mais en fait j'aimerais bien comprendre ce qui ne va pas sur le script (je ne cherche pas simplement a faire), si qqn connait la solution :hello:


---------------
Et toi, tu crois que les ours polaires vont chier dans les bois ?
Reply

Marsh Posté le 24-03-2004 à 11:49:13    

Je crois que avec ces lignes tu log tout mais aussi tu drop tout :
Fait un test sans la dernière ligne...
# logging du paquet et rejet avec ajout d'une chaine de caractères
# pour pouvoir nous y retrouver dans les fichiers de log
   
  iptables -N LOG_DROP
  iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
  iptables -A LOG_DROP -j DROP

Reply

Marsh Posté le 25-03-2004 à 17:17:55    

Je viens de refaire des régles avec :
 

Code :
  1. EXT_IF="eth0"
  3. echo 1 > /proc/sys/net/ipv4/ip_forward
  5. iptables -A INPUT  -i lo -j ACCEPT
  6. iptables -A OUTPUT -o lo -j ACCEPT 
  8. iptables -A INPUT  -i $EXT_IF -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
  9. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
  11. iptables -A INPUT  -i $EXT_IF -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
  12. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
  14. iptables -A INPUT  -i $EXT_IF -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
  15. iptables -A OUTPUT -o $EXT_IF -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
  17. iptables -A INPUT  -i $EXT_IF -p tcp --sport 1024: --dport 1024: \
  18. -m state --state ESTABLISHED -j ACCEPT
  19. iptables -A OUTPUT -o $EXT_IF -p tcp --sport 1024: --dport 1024: \
  20. -m state --state ESTABLISHED,RELATED -j ACCEPT


 
J'execute donc le script de flush des régles, puis le script nouvellement écris.
Aprés divers tests, toujours pas d'accés sur le serveur alors qu'un accés direct marche parfaitement en http et ftp  :(  
 
Voici les pings que j'obtiens (je précise que je peut pinger le firewall et que le serveur a la nouvelle adresse 192.168.50.207) :

ping sur le firewall:

Code :
  1. localhost root # ping 192.168.0.206
  2. PING 192.168.0.206 (192.168.0.206) 56(84) bytes of data.
  3. 64 bytes from 192.168.0.206: icmp_seq=1 ttl=64 time=7.60 ms
  4. 64 bytes from 192.168.0.206: icmp_seq=2 ttl=64 time=0.181 ms
  6. --- 192.168.0.206 ping statistics ---
  7. 2 packets transmitted, 2 received, 0% packet loss, time 1017ms
  8. rtt min/avg/max/mdev = 0.181/3.890/7.600/3.710 ms


 

ping sur le serveur à travers le firewall :
 

Code :
  1. localhost root # ping 192.168.50.207
  2. PING 192.168.50.207 (192.168.50.207) 56(84) bytes of data.
  3. WARNING: failed to install socket filter
  4. : Protocol not available
  5. From 192.168.0.206: icmp_seq=2 Redirect Host(New nexthop: 192.168.50.207)
  6. From 192.168.0.206: icmp_seq=3 Redirect Host(New nexthop: 192.168.50.207)
  7. From 192.168.0.206 icmp_seq=1 Destination Host Unreachable
  8. From 192.168.0.206 icmp_seq=2 Destination Host Unreachable
  9. From 192.168.0.206 icmp_seq=3 Destination Host Unreachable
  10. From 192.168.0.206: icmp_seq=4 Redirect Host(New nexthop: 192.168.50.207)
  11. From 192.168.0.206: icmp_seq=5 Redirect Host(New nexthop: 192.168.50.207)
  12. From 192.168.0.206: icmp_seq=6 Redirect Host(New nexthop: 192.168.50.207)
  13. From 192.168.0.206 icmp_seq=4 Destination Host Unreachable
  14. From 192.168.0.206 icmp_seq=5 Destination Host Unreachable
  15. From 192.168.0.206 icmp_seq=6 Destination Host Unreachable
  16. From 192.168.0.206: icmp_seq=8 Redirect Host(New nexthop: 192.168.50.207)
  18. --- 192.168.50.207 ping statistics ---
  19. 9 packets transmitted, 0 received, +6 errors, 100% packet loss, time 8017ms
  20. , pipe 3


 
 
La distribution n'est rien qu'une mandrake 9.2 de base avec l'option firewall pour avoir iptables. Avez vous une idée ?


Message édité par nodus le 25-03-2004 à 17:18:39

---------------
Et toi, tu crois que les ours polaires vont chier dans les bois ?
Reply

Marsh Posté le 25-03-2004 à 18:38:26    

je répète :  
tu n'as pas de règles forward, ce qui fait que tu droppes tout ce qui passe à travers la passerelle donc forcément une machine derrière ne peut pas avoir accès au web


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 28-03-2004 à 13:34:53    

+1

Reply

Marsh Posté le 28-03-2004 à 15:46:39    

Mjules a écrit :

je répète :  
tu n'as pas de règles forward, ce qui fait que tu droppes tout ce qui passe à travers la passerelle donc forcément une machine derrière ne peut pas avoir accès au web


 
Je les ai rajoutées par la suite mais ça ne marche pas  :cry:


---------------
Et toi, tu crois que les ours polaires vont chier dans les bois ?
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed