Redirection avec Shorewall (debutant inside)

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Redirection avec Shorewall (debutant inside)

Messagepar novice75 » 21 Août 2006 17:47

Bonjour à tous,

Je souhaiterais faire de la redirection vers une machine de mon reseau privé lorsque je tape mon ip publique suivi d'un numero de port

exemple :
https://82.xxx.xxx.xxx:680 va se connecter sur https://128.195.240.50:680

le reseau est un peu complexe puis que la classe d'adresse change à chaque noeud


82.xxx.xxx.xxx LiveBox 192.168.1.1 <====> 192.168.1.5 Routeur 192.168.0.1 <====> 192.168.0.5 Passerelle Linux (Shorewall) 128.195.240.250 <====> 128.195.240.50 machine XP


desole pour le dessin, c'est pas tres clair :oops: de chaque coté du noeud c'est les IP des interfaces.


Je pense que je me suis pas trompé pour ce qui est de la redireciton de la livebox et du routeur mais en ce qui concerne Shorewall c'est moin sur :lol:

Accept loc loc tcp 680
Accept net loc tcp 680

DNAT loc loc:128.195.240.50 tcp 680 680
DNAT net loc:128.195.240.50 tcp 680 680



Merci :)




Edit : oops, mon sujet n'es tpeut etre pas dans la bonne section. desole :?
novice75
Matelot
Matelot
 
Messages: 3
Inscrit le: 21 Août 2006 17:29

Messagepar Franck78 » 21 Août 2006 22:47

Et bien,
quelle complication dites donc.

Trois routeurs, internet, du privé, du non privé...

D'abord je supprimerais le routeur au milieu (entre livebox et shorewall).

Ensuite, la livebox assure la translation d'adresse, tout le reste du réseau, aussi complexe soit-il peut tenir dans un espace privé, 10.x.x.x par exemple. Et la-dedans, pas de 'redirection d'IP/port. Il n'y a que des vraies ouvertures de port (tel proto passe de tel endroit à tel endroit dans le fw) et des routeurs (routes statiques/rip).

Les transferts de port sont TOUS dans la live-box.
Cela serait le cas normal.

Je ne sais plus si une Livebox connait le transfert de port. Si c'est non, et bien il faut la passer dans un mode spécial ou elle délivre TOUT ce qu'elle recoit sur UNE machine de son réseau interne. Et cette machine est souvent le fw (shorewall).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 21 Août 2006 23:09

Bien sur d'accord avec Franck : à quoi sert ce routeur au milieu ?

Il est clair que chaque routeur (qui ne dispose que d'une adresse) doit faire une redirection. Bien gérer un firewall pour que ce soit propre, c'est pas toujours simple, mais 3 c'est surement pas facile à bien faire.

Et puis ce genre de choses cela se teste à chaque étape : tcpdump c'est simple et on comprend ce qui se passe.

Mais surtout qu'est ce que ces 2 "doubles règles" ? Qu'est ce que cela veut dire "ACCEPT loc loc" ? Cela ne veut rien dire ! "loc vers loc" est un traffic qui ne passe pas dans Shorewall puisque c'est d'une interface vers la même ! Il n'y a besoin que d'une seule et unique règle.

La redirection en Shorewall ça s'écrit (en une seule règle) "DNAT net loc:(cible) tcp (port)" (dans le cas où il n'y a pas de changement de port).

Ce qu'il faut comprendre avec Netfilter (Iptables), c'est que l'on décrit toujours et seulement une règle pour l'initiation du traffic, le retour étant traité de façon générale grace à "related".
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar novice75 » 22 Août 2006 10:22

Et bien tout d'abord merci pour vos reponses.


Je n'ai malheureusement pas le choix de la structure de reseau donc le routeur je suis obligé de le garder pour l'instant... (en faite pour la petite histoire, il me semble qu'il a ete acheter lorsque notre ancien modem ne faisait pas routeur et sert actuellement pour les connexions VPN)



Tres bien, j'enleve donc la regle "loc loc" (que j'avais mis au cas ou).
Donc si je garde la regle "Accept net loc" puis "DNAT net loc:(cible) tcp (port)" ca devrait fonctionner.



Je vais tester ca, je vous tiens au cournat. Merci
novice75
Matelot
Matelot
 
Messages: 3
Inscrit le: 21 Août 2006 17:29

Messagepar jdh » 22 Août 2006 12:03

J'ai pas du me faire bien comprendre.

ACCEPT loc loc : mauvais
ACCEPT net loc : mauvais
DNAT loc loc : mauvais
DNAT net loc:(cible) : bon

Règle 1 : mauvais car "loc" ne peut aller vers "loc" (même interface).
Règle 2 : mauvais car "net" ne pourrait aller que vers UNE seule machine, en plus ce n'est pas la bonne action : il faut utiliser DNAT car il y a de la MASQUERADE entre "loc" et "net".
Règle 3 : mauvais car "loc" ne peut aller vers "loc" (même interface), de plus DNAT ne peut convenir (DNAT convient pour "net" vers X).
Règle 4 : bon si UNE seule cible (notation "loc:(cible)").

Il m'avait semblé que la doc sur http://www.shorewall.net était très correcte pourtant.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar novice75 » 22 Août 2006 16:32

Ok, merci pour tes explications :)

Pour la doc, je l'ai lu (pas entierement) mais j'ai pas tout compris pour autant :wink: ... la preuve :lol:


PS : je n'ai toujours pas pu tester
novice75
Matelot
Matelot
 
Messages: 3
Inscrit le: 21 Août 2006 17:29


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)