débutant avec iptables

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

débutant avec iptables

Messagepar bellad17 » 23 Juil 2007 14:59

bonjour, voila ce que je veux faire

sur eth0 > internet en client dhcp venant d'une neufbox 192.168.1.1
eth1 > 168.191.222.119
eth2 > 10.10.27.119

je voudrais que eth1 et eth2 accede à internet

mais je ne veut pas que eth1 aille sur eth2 et vice versa

je voudrais acceder à la neufbox uniquement par un poste 192.168.223.42 , ainsi que en ssh sur le serveur
en fait eth2 ne va que sur internet


les postes du lan 1 auront la passerelle 168.191.222.119
les postes du lan 2 auront la passerelle 10.10.27.119

voila ce que j'ai fait
Code: Tout sélectionner
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#Empeche eth2 et eth1 de communiquer
iptables -A FORWARD -i eth1 -o eth2 -j DROP
iptables -A FORWARD -i eth2 -o eth1 -j DROP

#Autorise eth2 et eth1 à accéder a eth0
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

#Filtrer les arrivées d'internet
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED, RELATED -j ACCEPT

#poste ayant acces à la neufbox
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.223.40 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.1 -j ACCEPT


QUESTIONS/
est ce que mon script est bon ? sécurité etc...

je ne l'ai pas encore testé , sauf l'acces à la neufbox qui biensur ne marche pas

merci à tous
bellad17
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 03 Sep 2006 17:49

Messagepar micjack » 24 Juil 2007 00:38

Salut,

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD

#Empeche eth2 et eth1 de communiquer
iptables -A FORWARD -i eth1 -o eth2 -j DROP
iptables -A FORWARD -i eth2 -o eth1 -j DROP

Pourquoi interdir deux interfaces de se voir si tout est flushé depuis le départ ?

#Autorise eth2 et eth1 à accéder a eth0
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

Je metrais quand même les conditions d'états, NEW,ESTABLISHED, RELATED -j ACCEPT

#Filtrer les arrivées d'internet
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -m state --state ESTABLISHED, RELATED -j ACCEPT

#poste ayant acces à la neufbox
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.223.40 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -s 192.168.1.1 -j ACCEPT

Comprend pas pourquoi un filtrage venant d'internet, il semble aussi qu'il y'a des doublons, tu mets FORWARD dans toutes tes régles... Et le POSTROUTING ?

iptables -t nat -A POSTROUTING -s 192.168.223.x -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.x -o eth0 -j MASQUERADE

x à remplacer par le N° de ton poste à pouvoir se connecter...

je ne l'ai pas encore testé , sauf l'acces à la neufbox qui biensur ne marche pas

Manque pas echo 1 > /proc/sys/net/ipv4/ip_forward ?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar bellad17 » 24 Juil 2007 20:04

bonjour et merci de m'aider
comme tu peut voir je suis nul avec iptables
depuis j'ai modifié :
Code: Tout sélectionner
#reinitialisation
# Flush rules
iptables -F
iptables -F -t nat
iptables -F -t mangle

#je bloque tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#accepte connex lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Filtrer les arrivées d'internet
iptables -A INPUT -i eth0 --protocol tcp --source-port 80 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 80 -m state --state NEW,ESTABLISHED -j ACCEPT

#acces neufbox
# j'ai essayé ça
#iptables -A FORWARD -i eth1 -o eth0 -s 192.168.223.40 -m state --state NEW -j ACCEPT
#mais pas mieux
#et ça  mais pas mieux non plus
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.223.40 -d 192.168.1.1 -j ACCEPT


pour le moment je m'axe sur l'acces neufbox et ensuite ssh depuis mon ordi et uniquement mon ordi
car le serveur est à trois metre , ensuite il serat dans un autre batiment
donc ça ferait mon ordi :192.168.223.40 ->
le serveur :ETH1 192.168.223.119 -> ETH0 ->
neufbox : 192.168.1.1

j'ai bien mis ip_forward à 1 dans les options
bellad17
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 03 Sep 2006 17:49

Messagepar micjack » 24 Juil 2007 20:32

Il faut pas grand chose pour construire des régles pour une passerelle... Et tout ca dans l'ordre.
Une fois que tu as tout initialisé, bloqué, etc... il suffit

Code: Tout sélectionner
Pour la premiere carte vers eth0
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Pour la seconde carte vers eth0
iptables -A FORWARD -i eth2 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.223.x -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.10.27.x -o eth0 -j MASQUERADE


D'ou x est le poste à pouvoir se connecter, genre 192.168.223.40
Si cela ne fonctionne pas, c'est soit l'IP de la Box ou de eth0 qui va pas. Mais ce qui est certain, c'est que ces régles sont corrects pour ce que tu veux faire.

Edit: Vu que ta Box est en 192.168.1.1, ta carte eth0 doit etre sur le même réseau, genre 192.168.1.2
Puis une des désignation de la passerelle du lan ne collent pas non plus :?
bellad17 a écrit:les postes du lan 1 auront la passerelle 168.191.222.119
les postes du lan 2 auront la passerelle 10.10.27.119
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar bellad17 » 25 Juil 2007 09:18

bonjour,
effectivement la box est en 192.168.1.1
eth0 est en 192.168.1.20
tu me parle que la passerelle eth1 n'est pas bonne , peut tu me dire pourquoi et quel ip serait le mieux ?
j'essai ça dans la soirée , en attendant j'vais bossé
@+
bellad17
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 03 Sep 2006 17:49

Messagepar micjack » 25 Juil 2007 10:06

tu me parle que la passerelle eth1 n'est pas bonne

Ben oui, puisque ton réseau est 192.168.223.x et ta passerelle est 168.191.222.119, il y'a deux shmil, l'un 168 puis l'autre 222, je pense que tu voulais plutot dir 192.168.223.119
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar bellad17 » 25 Juil 2007 18:47

OUPS !!
je m'suis melangé les piceaux en ecrivant , tu as raison c'est bien 192.168.223.119

bien bonne nouvelle ça marche
voici mon scritp

Code: Tout sélectionner
#reinitialisation
# Flush rules
iptables -F
iptables -F -t nat
iptables -F -t mangle

#je bloque tout
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#accepte connex lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


#Pour la premiere carte vers eth0
iptables -A FORWARD -i eth1 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth1 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Pour la seconde carte vers eth0
iptables -A FORWARD -i eth2 -o eth0 -m state --state ! INVALID -j ACCEPT
iptables -A FORWARD -o eth2 -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.223.42 -o eth0 -j MASQUERADE
# ssh
iptables -A INPUT -p tcp -m tcp -s 192.168.223.42 --dport 22 -j ACCEPT
#iptables -t nat -A POSTROUTING -s 10.10.27.x -o eth0 -j MASQUERADE


j'ai mis # devant 10.10... car je ne veut pas que ce lan accede à la neufbox

par contre j'ai essayé de faire une table pour aller sur ssh (putty ou winscp) du serveur , mais niette ça marche pas

JE viens d'essayé en mettant iptables -P OUTPUT ACCEPT au lieu de DROP
quelle concequence peut il y avoir sur le reste ?
par contre il n'y a que l'adresse 192.168.223.42 qui accede à internet , c'etait pas le but
merci
bellad17
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 03 Sep 2006 17:49


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron