Timeout session avec parfeu Iptable

Timeout session avec parfeu Iptable - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-06-2011 à 16:56:41    

Bonjour
 
J'ai configuré un pare-feu sous Debian pour protéger un réseau d'administration Vmware. Les règles fonctionnent correctement mais j'ai des coupures de sessions qui se traduisent par des micro-coupures de mes sessions RDP ou des messages d'erreurs dans mon client Vsphère
Quelqu'un pourrait il m'aider ?
 
 
Voici le script :
 

Code :
  1. #!/bin/bash
  2. #ETH0 = LAN
  3. #ETH1 = Reseau_Admin_Vmware
  5. #initialisation des regles de filtrage
  6. iptables -F
  7. iptables -X
  8. echo "Remise a zero des regles firewall [OK]"
  9. echo ""
  11. #Autorisation pour l'administration via SSH
  12. xxxxxxx
  13. iptables -t filter -A INPUT -i eth0 -m mac --mac xxxxxxx
  14. -s xxxxxxx
  15. -p tcp --dport 22 -j ACCEPT
  16. iptables -t filter -A INPUT -i eth0 -m mac --mac xxxxxxx
  17. -s xxxxxxx
  18. -p tcp --dport 22 -j ACCEPT
  19. iptables -t filter -A INPUT -i eth0 -m mac --mac xxxxxxx
  20. -s xxxxxxx
  21. -p tcp --dport 22 -j ACCEPT
  22. iptables -t filter -A INPUT -i eth0 -m mac --mac xxxxxxx
  23. -s xxxxxxx
  24. -p tcp --dport 22 -j ACCEPT
  25. echo "Autorisation de l'acces SSH pour les postes admin [OK]"
  26. echo ""
  28. #interdit tout par defaut
  29. iptables -t filter -P INPUT DROP
  30. iptables -t filter -P OUTPUT DROP
  31. iptables -t filter -P FORWARD DROP
  32. echo "interdication de tout le Trafic [OK]"
  33. echo ""
  35. #Autorisation pr l'interface de Loopback de communiquer
  36. iptables -t filter -A INPUT -i lo -j ACCEPT
  37. iptables -t filter -A OUTPUT -o lo -j ACCEPT
  38. echo "Autorisation d'access au reseau pour le loopback [OK]"
  39. echo ""
  41. #Autoriser les connection deja etablis en INPUT et FORWARD
  42. iptables -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  43. iptables -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  44. iptables -t filter -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
  45. echo "Autorisation du trafic reseau pour les connections deja etablis [OK]"
  46. echo ""
  48. #Autorisation Admin Firewall
  50. #Sauvegarde de la configuration en FTP
  51. #iptables -t filter -A OUTPUT -o eth0 -d xxxxxxx
  52.   -j ACCEPT
  53. #iptables -t filter -A INPUT -i eth0 -p udp --dport 20 -j ACCEPT
  55. #Accès au Proxy pour les mises à jour
  56. iptables -t filter -A OUTPUT -o eth0 -d xxxxxxx
  57. -p tcp --dport xxxxxxx
  58. -j ACCEPT
  60. #Accès au serveurs EIC pour les requêtes DNS
  61. iptables -t filter -A OUTPUT -o eth0 -d xxxxxxx
  62. -p udp --dport 53 -j ACCEPT
  63. iptables -t filter -A OUTPUT -o eth0 -d xxxxxxx
  64. -p udp --dport 53 -j ACCEPT
  66. #Autorisation
  67. #LAN -> Reseau_Admin_ESX OK equipe Systeme
  68. iptables -t filter -A FORWARD -i eth0  -s xxxxxxx
  69. -j ACCEPT
  70. iptables -t filter -A FORWARD -i eth0  -s xxxxxxx
  71. -j ACCEPT
  72. iptables -t filter -A FORWARD -i eth0  -s xxxxxxx
  73. -j ACCEPT
  74. iptables -t filter -A FORWARD -i eth0  -s xxxxxxx
  75. -j ACCEPT
  76. echo "Administrateurs systemes autorisation [OK]"
  78. #Reseau_Admin_ESX -> LAN [Uniquement vers Proxy [Pr mise à jour SYS] + NTP]
  80. #Acces au NTP du xxxxxxx
  82. iptables -t filter -A FORWARD -i eth1 -d xxxxxxx
  83. -p tcp --dport 123 -j ACCEPT
  84. #iptables -t filter -A FORWARD -i eth1 -d xxxxxxx
  85. -p udp --dport 123 -J ACCEPT
  86. echo "Acces NTP [OK]"


Reply

Marsh Posté le 10-06-2011 à 16:56:41   

Reply

Marsh Posté le 12-06-2011 à 12:30:41    

Tu es sûr que ca vient de iptables ?

Reply

Marsh Posté le 13-06-2011 à 13:45:36    

disons que je rencontre le même phénomène que se soit en machine virtuelle ou en machine physique ^^

Reply

Marsh Posté le 13-06-2011 à 14:28:29    

Si tu mets une politique d'iptables en full Accept, tu as toujours des soucis ?

Reply

Marsh Posté le 14-06-2011 à 09:53:54    

bonjour
 
je viens de faire le test, le problème se pose aussi en "Full Accept"

Reply

Marsh Posté le 14-06-2011 à 10:48:52    

Donc à mon avis ca ne vient pas d'iptables.
Tu as peut être des pertes de paquets ?

Reply

Marsh Posté le 14-06-2011 à 12:58:53    

pertes de paquets ? bon je vais etudier toute la chaine de liaison pr voir si il y aurai pas une anomalie, je vous tiens au courant

Reply

Marsh Posté le 15-06-2011 à 12:49:56    

visiblement pas de perte de paquets ... et plus ca va plus ca empire ^^

Reply

Marsh Posté le 15-06-2011 à 15:30:59    

donc si quelqu'un a une petite idée ... hé hé je suis preneur ^^

Reply

Marsh Posté le 20-06-2011 à 11:56:40    

bon problème résolu ... passage par notre routeur juniper SSG140

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed