bonjour,
j'utilise ipcop comme serveur d'accées vpn et j'ai un petit souci!
Openvpn marche bien avec mon controle de certif windows
par contre mon iptables me prend la tête
j'utilise ipcop
topologie:
GREEN RED
pc1--------------------- IPCOP--------PC2
192.168.0.X/24 192.168.1.X
la rêgle initiale d'iptales permet le forward dans les deux sens!
# /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
alors qu je souhaite plutot permetre le trafic de green > RED et juste autoriser les reponses et certain paquet de RED > GREEN et c'est la que ca coince: iptables prend bien mes rêgle mais me bloque le trafic RED > GREEN je ne comprend pas!!!!!
rien ne marche comme d'habitude
j'administre plusieur firewall sous linux avec iptables sans aucun prob en ne laissant sortir que ce don j'ai besoin mais la je seche.
apparement les drop sont prioritaires
un state ESTABLISHED,RELATED à la même fonction qu'un NEW,ESTABLISHED,RELATED
je suis perdue
merci d'avance pour vos reponses!
prob iptables et openvpn
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
prob iptables et openvpn
par imorum » 02 Jan 2007 04:29
- imorum
- Second Maître
- Messages: 29
- Inscrit le: 03 Mai 2005 22:05
par jdh » 02 Jan 2007 08:44
"le forward dans les 2 sens" ? Qu'est ce que cela veut dire ?
La règle "/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" ne signifie que les paquets qui font partie d'une session (précédemment=NEW) autorisée en FORWARD peuvent passer. (A noter qu'il y a un # en début de ligne, donc la ligne ne doit pas s'executer !). Cette règle est assez standard et permet de concentrer sur les règles "--state NEW" puisque les "ESTABLISHED" ou "RELATED" sont traités par cette seule ligne.
En général un firewall est prévu pour filtrer le trafic entre GREEN et RED. Généralement RED vers GREEN est très limité : cela doit correspondre à un serveur dont l'accès est autorisé.
J'ajoute que RED n'est normalement pas à confondre avec le VPN. J'ignore si IPCOP utilise des règles spécifiques à la zone VPN, je le pense.
De plus RED vers GREEN est souvent impossible parce que le trafic est "masqueradé" dans le sens GREEN vers RED. Donc la seule ip accessible du côté RED est celle du firewall.
La règle "/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT" ne signifie que les paquets qui font partie d'une session (précédemment=NEW) autorisée en FORWARD peuvent passer. (A noter qu'il y a un # en début de ligne, donc la ligne ne doit pas s'executer !). Cette règle est assez standard et permet de concentrer sur les règles "--state NEW" puisque les "ESTABLISHED" ou "RELATED" sont traités par cette seule ligne.
En général un firewall est prévu pour filtrer le trafic entre GREEN et RED. Généralement RED vers GREEN est très limité : cela doit correspondre à un serveur dont l'accès est autorisé.
J'ajoute que RED n'est normalement pas à confondre avec le VPN. J'ignore si IPCOP utilise des règles spécifiques à la zone VPN, je le pense.
De plus RED vers GREEN est souvent impossible parce que le trafic est "masqueradé" dans le sens GREEN vers RED. Donc la seule ip accessible du côté RED est celle du firewall.
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par jdh » 02 Jan 2007 10:59
Pour continuer ce qu'écrit Franck78,
Il faut noter qu'une différence essentielle entre iptables et ipchains, c'est bien le module "state" (et ipconntrack) qui permet le suivi de sessions et, par conséquent, de ne s'intéresser qu'à ce qui caractérise une session c'est à dire l'initiation de celle-ci.
Par conséquent, et c'est le cas avec la plupart des firewalls, on ne décrit QUE la source, le protocole, la destination ... sans décrire le retour.
Christian Caleca me parait tout indiqué .... http://christian.caleca.free.fr/ (merci à lui)
Il faut noter qu'une différence essentielle entre iptables et ipchains, c'est bien le module "state" (et ipconntrack) qui permet le suivi de sessions et, par conséquent, de ne s'intéresser qu'à ce qui caractérise une session c'est à dire l'initiation de celle-ci.
Par conséquent, et c'est le cas avec la plupart des firewalls, on ne décrit QUE la source, le protocole, la destination ... sans décrire le retour.
Christian Caleca me parait tout indiqué .... http://christian.caleca.free.fr/ (merci à lui)
-
jdh - Amiral
- Messages: 4741
- Inscrit le: 29 Déc 2002 01:00
- Localisation: Nantes
par imorum » 02 Jan 2007 16:46
je vien de lire la doc de calceca et elle ne fait que confirmer ma facon de faire!
j'ai apris iptables en naviguant entre elles celle de lea-linux et d'autre!
je doit surement bloquer sur un detail (c le plus bête)
PAR CONTRE JE ME SUIS MAL EXPRIME SUR MON PREMIER POST!!
PC1-------------1PCOP--------------PC2
GREEN RED
vpn TLS TUN0
en bref je ne cherche pas à affiner le RED > Geen mais LE trafic entre TUN0 > green pour eviter que les clients ai accées à tout.
dans un premiers temps je veu juste permetre à pc1 d'avoir accées à tout et pc2 à repondre
en bref !
je le voyait grossomodo comme ca!
iptables -A FORWARD -i eth0 -o tun0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
et la ca devien farfelu ( un coup ca passe un coup ca passe plus)
ca drope dans les deux sens ou ca passe dans les deux sens (je me demande si je vais pas retourner à l'ecole la).
pourtant j'ai utilis iptables pour filtrer des réseau vpn IPSEC multi site avec freeswan puis openswan
et ce sans aucun prob ( j'utilisé une mandrake)!
je me refais un script à la mano en suivant le post de calceca et je le teste ( je le posterais)
merci pour vos reponses!!!
j'ai apris iptables en naviguant entre elles celle de lea-linux et d'autre!
je doit surement bloquer sur un detail (c le plus bête)
PAR CONTRE JE ME SUIS MAL EXPRIME SUR MON PREMIER POST!!
PC1-------------1PCOP--------------PC2
GREEN RED
vpn TLS TUN0
en bref je ne cherche pas à affiner le RED > Geen mais LE trafic entre TUN0 > green pour eviter que les clients ai accées à tout.
dans un premiers temps je veu juste permetre à pc1 d'avoir accées à tout et pc2 à repondre
en bref !
je le voyait grossomodo comme ca!
iptables -A FORWARD -i eth0 -o tun0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i tun0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
et la ca devien farfelu ( un coup ca passe un coup ca passe plus)
ca drope dans les deux sens ou ca passe dans les deux sens (je me demande si je vais pas retourner à l'ecole la).
pourtant j'ai utilis iptables pour filtrer des réseau vpn IPSEC multi site avec freeswan puis openswan
et ce sans aucun prob ( j'utilisé une mandrake)!
je me refais un script à la mano en suivant le post de calceca et je le teste ( je le posterais)
merci pour vos reponses!!!
- imorum
- Second Maître
- Messages: 29
- Inscrit le: 03 Mai 2005 22:05
par imorum » 02 Jan 2007 17:49
bon avec ce sript ca marche il est tres basique mais il marche!
echo 1 > /proc/sys/net/ipv4/ip_forward
# Nous vidons les chaînes :
iptables -F
# Nous supprimons d'éventuelles chaînes personnelles :
iptables -X
# CREATION DE LOG
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[iptables drop] : '
iptables -A LOG_DROP -j DROP
# Nous les faisons pointer par défaut sur DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
#iptables -t mangle -P PREROUTING ACCEPT
#iptables -t mangle -P INPUT ACCEPT
#iptables -t mangle -P OUTPUT ACCEPT
#iptables -t mangle -P FORWARD ACCEPT
#iptables -t mangle -P POSTROUTING ACCEPT
#iptables -f FORWARD
###### regle de FORWARD ##########
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i eth0 -d 10.195.208.6 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -s 10.195.208.6 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Nous considérons que la machine elle même est sûre
# et que les processus locaux peuvent communiquer entre eux
# via l'interface locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Nous considérons que notre réseau local est
# également sûr (ce qui n'est pas forcément vrai, d'ailleurs).
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.195.208.6 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 222 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT
##########
# route
#DNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
par contre je comprend pas le comportement d'iptables quand je modifie le script d'ipcop!
surtout qu'il y a pas mal de truc sympas dedans.
avez vous une doc dedier au sript iptables sur ipcop???
pour que je puisse me faire un script le plus fiable et securitaire possible.
merci d'avance
echo 1 > /proc/sys/net/ipv4/ip_forward
# Nous vidons les chaînes :
iptables -F
# Nous supprimons d'éventuelles chaînes personnelles :
iptables -X
# CREATION DE LOG
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix '[iptables drop] : '
iptables -A LOG_DROP -j DROP
# Nous les faisons pointer par défaut sur DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Nous faisons de même avec toutes les autres tables,
# à savoir "nat" et "mangle", mais en les faisant pointer
# par défaut sur ACCEPT. Ca ne pose pas de problèmes
# puisque tout est bloqué au niveau "filter"
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
#iptables -t mangle -P PREROUTING ACCEPT
#iptables -t mangle -P INPUT ACCEPT
#iptables -t mangle -P OUTPUT ACCEPT
#iptables -t mangle -P FORWARD ACCEPT
#iptables -t mangle -P POSTROUTING ACCEPT
#iptables -f FORWARD
###### regle de FORWARD ##########
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -i eth0 -d 10.195.208.6 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -s 10.195.208.6 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Nous considérons que la machine elle même est sûre
# et que les processus locaux peuvent communiquer entre eux
# via l'interface locale :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Nous considérons que notre réseau local est
# également sûr (ce qui n'est pas forcément vrai, d'ailleurs).
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 10.195.208.6 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 222 -j ACCEPT
iptables -A INPUT -i eth1 -p icmp --icmp-type 0 -j ACCEPT
##########
# route
#DNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
iptables -A FORWARD -j LOG_DROP
iptables -A INPUT -j LOG_DROP
iptables -A OUTPUT -j LOG_DROP
par contre je comprend pas le comportement d'iptables quand je modifie le script d'ipcop!
surtout qu'il y a pas mal de truc sympas dedans.
avez vous une doc dedier au sript iptables sur ipcop???
pour que je puisse me faire un script le plus fiable et securitaire possible.
merci d'avance
- imorum
- Second Maître
- Messages: 29
- Inscrit le: 03 Mai 2005 22:05
6 messages
• Page 1 sur 1
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité