Pb iptables : serveurs inaccessibles

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar al9041 » 10 Nov 2003 16:26

Bonjour à tous, <BR> <BR>Après la lecture et l'application tant bien que mal de moult tutoriaux au sujet de Netfilter, mes serveurs (HTTP, SSH) restent pour l'instant inaccessibles de l'internet (interface eth1). Ils le sont par contre sans problème dans mon réseau local (interface eth0). En outre, mes serveurs sont installés sur ma passerelle et l'ensemble sous une Debian 3.0r1 (j'envisage l'achat d'un routeur d'ici peu...). <BR>Bref, voilà : c'est la raison pour laquelle je fais appel à votre expérience... <BR>D'avance merci ! <BR>iptables-save me retourne : <BR>... <BR>*filter <BR>:INPUT DROP [0:0] <BR>:FORWARD DROP [0:0] <BR><IMG SRC="images/smiles/icon_eek.gif">UTPUT DROP [0:0] <BR>-A INPUT -i lo -j ACCEPT <BR>-A INPUT -i eth0 -j ACCEPT <BR>-A INPUT -j LOG <BR>-A INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A INPUT -i eth1 -p tcp -m tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A INPUT -i eth1 -p tcp -m tcp --dport 8245 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A FORWARD -i eth0 -o eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT <BR>-A OUTPUT -o lo -j ACCEPT <BR>-A OUTPUT -o eth0 -j ACCEPT <BR>-A OUTPUT -o eth1 -p tcp -m tcp --sport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A OUTPUT -o eth1 -p tcp -m tcp --sport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A OUTPUT -o eth1 -p tcp -m tcp --sport 8245 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>... <BR>J'ai "tenté" d'ouvrir le port 8245 pour NO-IP (redirection d'URL sur une IP dynamique), tenté car je ne suis plus sûr de rien... <BR> <BR>Encore merci ! <BR> <BR>Al
Avatar de l’utilisateur
al9041
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Nov 2003 01:00

Messagepar kagou » 10 Nov 2003 16:37

Commentaires vite fait: <BR>"INPUT -i eth1 -p tcp -m tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT " <BR> <BR>le "-m tcp" est pas de trop ? <BR> <BR>Autant ne pas te servir de state si c'est pour tout ouvrir <IMG SRC="images/smiles/icon_wink.gif"> <BR>"INPUT -i eth1 -p tcp --dport 22 -j ACCEPT " <BR> <BR>Bon courage <IMG SRC="images/smiles/icon_biggrin.gif">
Forum francophone d'entre aide pour la Debian
Andesi
Avatar de l’utilisateur
kagou
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Nov 2003 01:00

Messagepar kagou » 10 Nov 2003 16:39

J'oubliais, d'après /etc/services il faut ouvrir tcp ET udp pour ssh <IMG SRC="images/smiles/icon_wink.gif"> <BR>++
Forum francophone d'entre aide pour la Debian
Andesi
Avatar de l’utilisateur
kagou
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Nov 2003 01:00

Messagepar tomtom » 10 Nov 2003 16:40

Envoie le resultat d'un iptables -L -v <BR> <BR>- le -m tcp, je connais pas, c'est la première fois que je le vois.. AU mieux ca sert à rine, au pire c'est çà qui bloque... <BR> <BR>- fais voir aussi un <BR> <BR>iptables -t nat -L -v <BR> <BR>pour voir... <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar al9041 » 10 Nov 2003 16:41

J'ai déjà tenté le : <BR>iptables -A INPUT -i eth1 -p tcp --dport ssh -j ACCEPT <BR>et le serveur reste inaccessible c'est pourquoi j'ai ajouté l'utilisation du module -m state... <BR>En vain, en vain... <BR>Ca doit être mon 4ème script.......
Avatar de l’utilisateur
al9041
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Nov 2003 01:00

Messagepar al9041 » 10 Nov 2003 16:43

Pour le nat : <BR>*nat <BR><IMG SRC="images/smiles/icon_razz.gif">REROUTING ACCEPT [0:0] <BR><IMG SRC="images/smiles/icon_razz.gif">OSTROUTING ACCEPT [0:0] <BR><IMG SRC="images/smiles/icon_eek.gif">UTPUT ACCEPT [0:0] <BR>-A POSTROUTING -o eth1 -j MASQUERADE <BR>Merci !
Avatar de l’utilisateur
al9041
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Nov 2003 01:00

Messagepar tomtom » 10 Nov 2003 16:48

j'ai pas tout compris.. <BR> <BR>1- desactive les smileys... <BR>2- pourquoio tu donnes pas les reponses demandées ? <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar al9041 » 10 Nov 2003 16:55

En fait, je ne suis pas actuellement sur ma machine, j'ai seulement le fichier que j'ai obtenu en effectuant : <BR>iptables-save > mon_fichier <BR>Je vous envoie donc des bribes de ce fichier pour vous montrer ma config d'iptables. <BR>En fait, le dernier tutorial que j'ai utilisé est celui de chritian caleca : <BR><!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter/iptables.htm" target="_blank">http://christian.caleca.free.fr/netfilter/iptables.htm</a><!-- BBCode auto-link end --> <BR>Et cela m'a donné le script suivant : <BR> <BR>iptables -F <BR>iptables -X <BR> <BR>iptables -P INPUT DROP <BR>iptables -P OUTPUT DROP <BR>iptables -P FORWARD DROP <BR> <BR>iptables -t nat -F <BR>iptables -t nat -X <BR>iptables -t nat -P PREROUTING ACCEPT <BR>iptables -t nat -P POSTROUTING ACCEPT <BR>iptables -t nat -P OUTPUT ACCEPT <BR>iptables -t mangle -F <BR>iptables -t mangle -X <BR>iptables -t mangle -P PREROUTING ACCEPT <BR>iptables -t mangle -P INPUT ACCEPT <BR>iptables -t mangle -P FORWARD ACCEPT <BR>iptables -t mangle -P POSTROUTING ACCEPT <BR> <BR>iptables -A INPUT -i lo -j ACCEPT <BR>iptables -A OUTPUT -o lo -j ACCEPT <BR> <BR># réseau local <BR>iptables -A INPUT -i eth0 -j ACCEPT <BR>iptables -A OUTPUT -o eth0 -j ACCEPT <BR> <BR># NAT <BR>iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE <BR> <BR>iptables -A FORWARD -i eth0 -o eth1 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT <BR>iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT <BR> <BR># Accès SSH depuis le Net <BR>iptables -A INPUT -p tcp --dport ssh -i eth1 -j ACCEPT <BR>iptables -A OUTPUT -p tcp --sport ssh -o eth1 -j ACCEPT <BR> <BR># De même pour le serveur Apache <BR>iptables -A INPUT -p tcp --dport http -i eth1 -j ACCEPT <BR>iptables -A OUTPUT -p tcp --sport http -o eth1 -j ACCEPT <BR> <BR>Et bien sûr, cela ne marche pas... C'est pkoi j'ai essayé de "tout ouvrir" en utilisant -m state pour ssh et http : sans succès ! J'enrage............ <BR>Merci pour tout conseil ! <BR>Al <BR>
Avatar de l’utilisateur
al9041
Matelot
Matelot
 
Messages: 5
Inscrit le: 07 Nov 2003 01:00

Messagepar tomtom » 10 Nov 2003 17:14

Tu es connecté comment ? cable ? <BR> <BR>Car si c'ets un adsl, ton interface internet ser probablement ppp0 deja... <BR>C'est un point à verifier... <BR> <BR>Ensuite, je te conseille de tout ouvrir en sortie pour commencer... <BR> <BR>Enfin, il vaut mieux etre devant sa machine quand on fait la config pour pouvoir faire des tests.. Ce n'est pas pratique sinon ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar targa » 10 Nov 2003 17:24

Bonjour, <BR> <BR>si je ne me trompe ton forward est à l'envers. Tu t'es trompé dans les interfaces d'entrée et de sortie. <BR> <BR>-A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT <BR> <BR>Qu'en pensez vous ?? <BR> <BR>
Avatar de l’utilisateur
targa
Contre-Amiral
Contre-Amiral
 
Messages: 371
Inscrit le: 20 Fév 2003 01:00

Messagepar tomtom » 10 Nov 2003 17:37

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-11-10 16:24, targa a écrit: <BR>Bonjour, <BR> <BR>si je ne me trompe ton forward est à l'envers. Tu t'es trompé dans les interfaces d'entrée et de sortie. <BR> <BR>-A FORWARD -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT <BR>-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT <BR> <BR>Qu'en pensez vous ?? <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Non, c'est correct, il autorise les machines du green (connectées à eth0), à sortir sur internet (-o eth1), à initier des connexions (NEW), et à en continuer (ESTABLISHED, RELATED). <BR> <BR>Dans l'autre sens, il autorise les paquets à rentrer que s'ils appartiennet à une session etablie (ESTABLISHED, RELATED). <BR> <BR>Ca me parrait correct. <BR>De plus, s'il s'etait trompé, il ne pourrait plus surfer, et ceci n'aurait rine à voir avec des serveurs hebergés sur la machine firewall elle-même. <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar targa » 10 Nov 2003 17:44

Ok de l'intérieur mais il n'y a pas de forward pour les connections venant d'internet, il faut rajouter le forward que je propose en plus de l'autre.
Avatar de l’utilisateur
targa
Contre-Amiral
Contre-Amiral
 
Messages: 371
Inscrit le: 20 Fév 2003 01:00

Messagepar kagou » 10 Nov 2003 17:51

Lorsque ce bout de script fonctionnera, ce sera bien. L'auto-satisfaction d'avoir appris quelquechose, et d'avoir réussi à partager une connexion est vraiment quelquechose de géant. Mais ce ne sera toujours pas un "firewall" digne de ce nom. <BR>Et avant de reinventer pour le 10 000 000 000 fois la roue, installer un vrai script de firewall et certainement la deuxième phase à réaliser <IMG SRC="images/smiles/icon_wink.gif">
Forum francophone d'entre aide pour la Debian
Andesi
Avatar de l’utilisateur
kagou
Second Maître
Second Maître
 
Messages: 28
Inscrit le: 04 Nov 2003 01:00

Messagepar tomtom » 10 Nov 2003 17:52

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-11-10 16:44, targa a écrit: <BR>Ok de l'intérieur mais il n'y a pas de forward pour les connections venant d'internet, il faut rajouter le forward que je propose en plus de l'autre. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Moi y'en a pas comprendre ???? <BR> <BR>Il n'y a pas à avoir de forward depuis internet vers le green s'il n'y a pas de serveur dans le green.... <BR> <BR>Le transfret des paquets ESTABLISHED et RELATED suffit amplement ! <BR> <BR>t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar targa » 10 Nov 2003 21:27

Désolé, je me suis trompé j'avais pas tout lu. Oublie ce que j'ai dit. <BR> <BR>
Avatar de l’utilisateur
targa
Contre-Amiral
Contre-Amiral
 
Messages: 371
Inscrit le: 20 Fév 2003 01:00

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron