Autoriser les scans LAN-> Passerelle avec IPTABLES

[evilangel]

Salut,

pour monter les regles iptables de ma passerelle, j'ai recopiée celle fournie ici en exemple:
http://people.via.ecp.fr/~alexis/format ... l#AEN10703

Ce qui donne pour la table FILTER:

Code: Tout sélectionner

malibu:/home# iptables -v -L
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination

    0     0 ACCEPT     all  --  lo     any     anywhere             anywhere

    4   213 ACCEPT     icmp --  any    any     anywhere             anywhere

    0     0 ACCEPT     igmp --  any    any     anywhere             anywhere

  113  5570 ACCEPT     all  --  any    any     anywhere             anywhere
        state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere
        tcp dpt:ssh
    1    48 ACCEPT     tcp  --  any    any     anywhere             anywhere
        tcp dpt:telnet
  191 12637 REJECT     all  --  any    any     anywhere             anywhere
        reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 1661 packets, 1146K bytes)
pkts bytes target     prot opt in     out     source               destination

   41  1968 TCPMSS     tcp  --  any    eth1    anywhere             anywhere
        tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain OUTPUT (policy ACCEPT 271 packets, 20132 bytes)
pkts bytes target     prot opt in     out     source               destination

et pour la table NAT:

Code: Tout sélectionner

malibu:/home# iptables -v -L -t nat
Chain PREROUTING (policy ACCEPT 266 packets, 17505 bytes)
pkts bytes target     prot opt in     out     source               destination


Chain POSTROUTING (policy ACCEPT 1 packets, 48 bytes)
pkts bytes target     prot opt in     out     source               destination

   53  2737 MASQUERADE  all  --  any    eth1    anywhere             anywhere


Chain OUTPUT (policy ACCEPT 5 packets, 306 bytes)
pkts bytes target     prot opt in     out     source               destination

Or il m'est impossible depuis mon LAN de scanner ma passerelle et vérifier les services.
Comment puis-je modifier ma config pour autoriser les scans UNIQUEMENT depuis mon LAN ?

Merci

[antolien]

Nous pouvons te donner la solution, mais c'est nettement mieux de lire le manuel plutôt que de copier/coller les règles donnée sur des sites au hazard.

C'est plutôt dangereux, ...

[evilangel]

L'exemple vient de la formation DEBIAN d'Alexandre De Lattre, véritable référence !

Par ailleurs, moi aussi j'aimerai bien avoir le temps de me pencher sérieusement sur la question et de me former à netfilter/iptables.

Mais si je demande un coup de pouce c'est justement que je n'ai pas cette possibilité.

[antolien]

ok,
il faut d'abord identifier l'interface lan (ifconfig)

iptables -I INPUT -s 192.168.10.11 -i eth1 -j ACCEPT

pour tout accepter de la machine 192.168.10.11 à destination de l'interface eth1(ici considérée comme le lan).
Tu peux remplacer 192.168.10.11 par un subnet comme 10.0.0.0/8

[evilangel]

merci

en fouillant les tuto, j'avais écrit cette regle:
ipatbles -A INPUT -i eth0 -j ACCEPT
dans la mesure ou eth0 est l'interface connectée au LAN.

Pour autant si je fais un scan depuis 192.168.0.199 vers 192.168.0.1 avec SuperScan (ma carte WiFi n'est pas reconnue sous Nux !!) j'ai cela en résultat:

Code: Tout sélectionner

Live hosts this batch: 1

192.168.0.1
   Hostname: [Unknown]
   UDP ports (1) 53

______________________________________________

Total live hosts discovered        1
Total open TCP ports               0
Total open UDP ports               1

Alors que sur la passerelle:

Code: Tout sélectionner

malibu:/home# nmap localhost

Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2005-09-01 23:10 CEST
Interesting ports on localhost.localdomain (127.0.0.1):
(The 1659 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
22/tcp  open  ssh
25/tcp  open  smtp
53/tcp  open  domain
953/tcp open  rndc

Donc par ex le service SSH n'apparait pas au scan depuis le client......

[jdh]

Je ne connais pas Superscan mais de toute façon tu as 2 choses totalement différentes.

- Superscan 192.168.0.1 : Lan -> eth0 donc règles "INPUT -i eth0"
- nmap localhost : localhost -> lo donc règles "INPUT -i lo"

Or généralement on autorise tout pour l'interface "lo".

Ce qui serait probant serait d'utiliser un autre Linux avec nmap pour tester réellement l'interface eth0 à partir du Lan.

Néamoins, je ne peux que confirmer ce qu'écris Antolien : il est dangereux de copier un script sans comprendre celui-ci.

C'est pourquoi je renouvelle le conseil de Shorewall : il est difficile d'écrire un long script de firewall, il est beaucoup plus simple de paramétrer Shorewall. (D'autant que le site est très bien documenté mais en anglais certes).

Dans ce cas, avec Shorewall, tu places dans /etc/shorewall/policy une ligne telle que

lan fw ACCEPT

et cela résoud ton souhait.

En ce qui me concerne, je n'accepte pas que LAN est accès total au Firewall (de même que Lan ai un droit total vers Internet comme avec IPCOP). J'écris donc explicitement dans /etc/shorewall/rules les règles d'accès nécessaires. A noter que je ne dépasse guère les 20-30 lignes (avec les commentaires) dans ce fichier de config, et je pense que c'est suffisant et efficace.

[evilangel]

En effet, plus tard je n'accepterai pas que le LAN ait un acces total sur le FW, mais pour le moment je suis toujours en phase de test.