[RESOLU] ipables freebox configuration regardé si g fé....

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

[RESOLU] ipables freebox configuration regardé si g fé....

Messagepar PsYKrO » 09 Nov 2004 13:20

Salut à tous...

ADSL: modem FREEBOX version 4 (peut faire routeur, et du nat) adresse ip 192.168.0.1
IP FIXE 82.32.45.17 (c'est un exemple)
serveur DHCP activé

Serveur LINUX mandrake 10.1 (pour commencer):

2 cartes reseaux (voir 3...)

eth0: reseau LAN static 192.168.1.1
eth1: reseau internet DHCP
la 3eme pourrai me servir pour APACHE mais j'y suis pas encore

-------------------------------------------------------------------
Pour commencer 1 ere question:

Conseil... est ce que vous me conseillez d'activer le routeur de la freebox et le nat ou alors de le faire soit meme pour etre sur de ce qu'on fait et donc de désactivé le routeur de la freebox??

2 eme question:

Je suis avec le routeur desactivé ... je veux faire du NAT mais commencons sans le nat

iptables avec la table filter ... je veux juste avoir internet sur le LINUX pour l'instant (car quand je met en place le firewall ... ben je n'ai plus le net....

"initialisation"
[root@monpc /]# iptables -t filter -F
[root@monpc /]# iptables -t filter -X

[root@monpc /]# iptables -t filter -P INPUT DROP
[root@monpc /]# iptables -t filter -P OUTPUT DROP
[root@monpc /]# iptables -t filter -P FORWARD DROP

"ping localhost"
[root@monpc /]# iptables -t filter -A OUTPUT -o lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT
[root@monpc /]# iptables -t filter -A INPUT -i lo -s 127.0.0.0/8 -d 127.0.0.0/8 -j ACCEPT

"autoriser reseau local"
[root@monpc /]# iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT
[root@monpc /]# iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24 -j ACCEPT

"autoriser net"
[root@monpc /]# iptables -t filter -A OUTPUT -o eth1 -s 82.32.45.17/24 -p tcp --dport 80 -j ACCEPT
[root@monpc /]# iptables -t filter -A OUTPUT -o eth1 -s 82.32.45.17/24 -p tcp --dport 443 -j ACCEPT
[root@monpc /]# iptables -t filter -A INPUT -i eth1 -d 82.32.45.17/24 -p tcp --sport 80 -j ACCEPT
[root@monpc /]# iptables -t filter -A INPUT -i eth1 -d 82.32.45.17/24 -p tcp --sport 443 -j ACCEPT

d'ailleurs à propos de ce 82.32.45.17/24 ... moi je pensai que le masque été 82.32.45.17/8 mais quand je regarde le site de free ... sur ma ligne .... c'est celui là 82.32.45.17/24

bon voila ...c'est un firewall tres tres tres light... mais je veux savoir si je suis bien parti ... ou est ce qu'il y a des erreurs ... faut il que je desactive le routeur de freebox ou pas ?( il me semble que chez moi je peux pas me connecter ... quand je fait un nmap monpc.internet.net il me dit que j'ai des port ouvert mais pas le http et le 443 (hhtps ?)

apres bien sure je met dans mon fire les securites conntrack et apres je fais du nat pour mes autres ordi locaux ....


Merci de vos réponses
Dernière édition par PsYKrO le 23 Nov 2004 14:45, édité 1 fois au total.
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar Matchek67 » 09 Nov 2004 14:02

Salut,

Je te conseil de faire toi même le nat via linux :) Car même su tu met le nat sur la freebox tu devras quand même mettre du nat sur linux pour avoir la connection sur windows :/

De même je te conseillerai de faire un script avec toutes les commandes dedans (en utilisant vi le nomduscript), comme sa après un reboot plus besoin de tout retaper :)

Je te donne un exemple que tu pourrais appliquer sur ta machine :)

Code: Tout sélectionner
#!/bin/sh

IPTABLES=/sbin/iptables
LAN=eth0
ADSL=eth1

#On lance ce qu'il nous faut

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

#On vide les règles et on met par défault

$IPTABLES -t filter -F
$IPTABLES -t nat -F
$IPTABLEs -t mangle -F
$IPTABLES -t filter -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

#On commence à bloquer

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

#On accept en localhost et ce qui vient sur lan

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i $LAN -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -j ACCEPT

#On accept tout ce qui va du lan vers le net

$IPTABLES -A FORWARD -i $LAN -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ADSL -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#On accept le web et ftp sur l'ordi linux

$IPTABLES  -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES  -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES  -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES  -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES  -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES  -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#On masque les conenctions sortantes

$IPTABLES  -A POSTROUTING -t nat -o ppp0 -j MASQUERADE



Voilà @++
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar PsYKrO » 09 Nov 2004 14:13

Merci pouir ta réponse ... mais j'ai deux questions encore... et je resume ce que tu me dit...

Je desactive le routeur et le nat de la freebox....
et je met se script en application ... mmm mais faire des scripts je suis pas arrivé a ce stade ... (comment et ou dois je l'ecrire ??? avec VI ou CAT et ou je l'enregistre??)

Apres ,...

#On accept le web et ftp sur l'ordi linux

$IPTABLES -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

1) Le web ce n'est pas le port 80 ?
2) ppp0 ca marche aussi pour une freebox ? (<--question bête)
3) Le port FTP peut on le changer ? et pourquoi il y en a 2 ? (un seul suffit?)
4) Pourquoi tu acceptes les port de 1027:65535 ?? ca laisse plein de port ouvert? (ou j'ai pas tout bien compris)

5), remarque : je vois que dans ton iptables tu ne specifies pas les adresses IP mais rien que les interfaces ... c'est juste une methode un peu moins puointilleux.... et paranoiaque ?
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar PsYKrO » 09 Nov 2004 17:19

Personne pour me repondre? ?? snif
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar romain138 » 09 Nov 2004 17:22

Salut,

Pour apprendre facilement tout ça, va sur www.lea-linux.org il y a plein d'article qui répondent à toutes tes questions.

Bonne Lecture.
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse

Messagepar PsYKrO » 09 Nov 2004 17:30

pourtant je regarde ce site... mais je n'y arrive pas ...


C'etait ces questions la:

1) Le web ce n'est pas le port 80 ? ( a ma connaissance oui alors pourquoi dans le script au dessus ...je le voit pas ??)

2) ppp0 ca marche aussi pour une freebox ? (<--question bête, je ne pense pas que lea explique ... je lé pas vu en tout cas, snif.....)

3) Le port FTP peut on le changer ? et pourquoi il y en a 2 ? (un seul suffit?)
4) Pourquoi tu acceptes les port de 1027:65535 ?? ca laisse plein de port ouvert? (ou j'ai pas tout bien compris)

5), remarque : je vois que dans ton iptables tu ne specifies pas les adresses IP mais rien que les interfaces ... c'est juste une methode un peu moins puointilleux.... et paranoiaque ?
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar tomtom » 09 Nov 2004 17:58

Je te conseille ce site pour bien démarrer :

http://christian.caleca.free.fr/netfilter

C'ets très bien expliqué et parfait pour monter une passerelle !

a+

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar romain138 » 09 Nov 2004 18:10

PsYKrO a écrit:pourtant je regarde ce site... mais je n'y arrive pas ...


C'etait ces questions la:

1) Le web ce n'est pas le port 80 ? ( a ma connaissance oui alors pourquoi dans le script au dessus ...je le voit pas ??)

2) ppp0 ca marche aussi pour une freebox ? (<--question bête, je ne pense pas que lea explique ... je lé pas vu en tout cas, snif.....)

3) Le port FTP peut on le changer ? et pourquoi il y en a 2 ? (un seul suffit?)
4) Pourquoi tu acceptes les port de 1027:65535 ?? ca laisse plein de port ouvert? (ou j'ai pas tout bien compris)

5), remarque : je vois que dans ton iptables tu ne specifies pas les adresses IP mais rien que les interfaces ... c'est juste une methode un peu moins puointilleux.... et paranoiaque ?



Le web c'est bien le port 80

ppp0 n'est pas valable pour la freebox ( juste du DHCP par adresse mac )

On peut changer le port d'ecoute du FTP, il faut parametrer ton firewall en fonction de tout ca MAIS aussi ton logiciel ftp ( sous linux ) /etc/services

Il y en a deux car il y a deux car le protocol ftp en requiere 2

Les port au dessus de 1024 sont des port qui servent à sortir et pas à entrer. Si tu ne les ouvre pas il y a plein de choses qui ne marcheront plus.

Le fait de spécifier eth0 à la placze de l'IP permet de modeler le script comme on veux, le jour on ton ip change ton script ne marche plus sauf ds ce cas, car il ne te faut changer que la variable.


Je te redonne le conseil de bien lire ( il faut beaucoup de temps pour démarrer avec linux contrairement à windows ou tout est pré macher )

La lecture et la base de bcp de chose.

lance tes recherche sur www.google.fr/linux ( au lieux de www.google.fr ), regarde les MAN et tu verra que tt va devenir plus clair.

Voilà, encore Bon courrage.
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse

Messagepar PsYKrO » 09 Nov 2004 18:19

Grand merci !!!!!!

1) google linux je connaissai pas ... comme quoi mon meilleur ami est vraiment bien !!!!

2) merci pour tes reponses

3) la lecture pour linux, j'ai remarqué çà.... ca fé 2 semaines que je teste ... j'ai l 'impression de tout réapprendre... ca fé du bien....

4) je ne savé pas que "Les port au dessus de 1024" ete pour la sortie

5) pourrait tu juste me dire pourquoi dans le script au dessus il a pas mit l'autorisation pour le port 80 ???

6) pour le ftp je lirai...mais plus tard... je ne suis pas encore à ce stade...

7) "ppp0 n'est pas valable pour la freebox ( juste du DHCP par adresse mac ) " alors dans une regle il faut ecrire comme ca ??
[root@monpc /]# iptables -t filter -A OUTPUT -o eth1 -s 82.32.45.17/24 -p tcp --dport 80 -j ACCEPT

car dans l'exemple que m a donné Matcheck -->
$IPTABLES -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT

il utilise ppp0...je pige pas alors...


Merci pour les futurs réponses...
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar romain138 » 09 Nov 2004 18:25

C'est à lui qui faut poser la question, mais surement qu'il à une connexion ADSL. N'oublie pas que le script qu'il t'a donné n'est qu'un exemple.

Il faut le revoir.

pour remplir facilement tes régles dans le cas d'un besoin urgent, il existe un truc pratique :

http://routes-linux.scooba.org/jays_ipt ... rewall.php

Bon courage
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse

Messagepar PsYKrO » 09 Nov 2004 18:40

Le seul truc que je n'arrve pas à trouver est:

qu'es ce qu'il faut à la place de ppp0 pour une freebox ???
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar romain138 » 09 Nov 2004 18:49

eth0 ou 1 .. Enfin l'interface sur laquelle est branché ta freebox
Romain, the Toulousain
Avatar de l’utilisateur
romain138
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 136
Inscrit le: 06 Déc 2003 01:00
Localisation: Toulouse

Messagepar Matchek67 » 09 Nov 2004 19:52

dsl pour les erreurs j'ai fait en 10 minutes, il faut remplacer ppp0 par $ADSL
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Messagepar PsYKrO » 10 Nov 2004 02:40

BOn j'ai toujours pas de connexion ...
lorsque je tape le script ou celui d'un autre ... apres je vais ouvrir un www.google.fr
mais il me dit qu'il conné pas ce nom...

je ne sais plus quoi faire car la plus part des firewall sont quasi identiques ....

je veux faire une chose simple autoriser juste la connexion internet ... je veux juste l'affichage...
car la je comprend pas....

Est ce que c'est l'installation de mandrake ... car g installer les packages serveur dns dhcp etc... ??


La je demande un HELP....
Avatar de l’utilisateur
PsYKrO
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 09 Nov 2004 09:40

Messagepar Matchek67 » 10 Nov 2004 08:27

Resalut,

Je te donne le version corrigé ^_^ :

Pour créer le fichier par exemple tu fait vi firewall
Puis tu tape tout sa et tu fait :wq pour enregister :) Pour qu'il soit executables tu fait un zoli chmod 777 firewall par exemple :]

Code: Tout sélectionner
#!/bin/sh

IPTABLES=/sbin/iptables
LAN=eth0
ADSL=eth1

#On lance ce qu'il nous faut : les modules (pour le ftp) et le forwarding (pour le partage)

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_conntrack

#On vide les règles et on met par défault

$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X

#On active l'anti-spoofing

if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

#On commence à bloquer

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT

#On accept en localhost et ce qui vient sur lan

$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i $LAN -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -j ACCEPT

#On accept tout ce qui va du lan vers le net

$IPTABLES -A FORWARD -i $LAN -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ADSL -o $LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

#On accept le web et ftp sur l'ordi linux

#Web

$IPTABLES -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -m state --state ESTABLISHED,RELATED -p tcp --sport 80 -j ACCEPT

#Https

$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 443 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Dns

$IPTABLES -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -p udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -m state --state ESTABLISHED,RELATED -p udp --sport 53 -j ACCEPT

#ftp

$IPTABLES -A INPUT -i $ADSL -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT

#On masque les connections sortantes

$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ADSL -j MASQUERADE
Avatar de l’utilisateur
Matchek67
Aspirant
Aspirant
 
Messages: 130
Inscrit le: 07 Mars 2004 01:00
Localisation: Strasbourg

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)