Aide Iptables Debian et 5 cartes reseaux

par **nordlead75** » 11 Juin 2003 11:20

Tout d'abord bravo pour le site, pour la richesse des contenus et la bonne humeur Je suis donc nouveau ici et aussi novice sous linux donc sur iptables egalement Voici donc mon probeme: J'ai donc un firewall avec une debian et iptables et 5 cartes reseaux eth0 adsl (nerim netissimo 2) eth1 cable (noos) eth2 dmz1 (web proxy mail dns streaming.....) eth3 dmz2 (borne wireless DLINK) eth4 local (pc travail, surf...) Je vais essayer de vous dire ce que je veux faire avec ce firewall Je precise que chaque pc fait une chose bien precise 10.0.0.1 adsl DHCP Cable 192.168.0.1 firewall .2 proxy et apt-proxy, serveur ntp et ids .3 dns .4 ftp .5 streaming (real server) .6 web (apache) .7 mail .8 gravure , enregistrement son video.... 192.168.1.1 Wireless 192.168.2.1 local Donc voici ce que je veux faire *les serveurs de la DMZ1 n'utilisent que l'adsl pour sortir *le local et dmz2 (wireless) utilisent que le cable pour sortir *local peut tout faire sur le reseau mais la dmz1 est limité qu'a ses services *je voudrais limiter la bande passante suivant les services et les heures ex: le ftp limité la journée pour favoriser le web et l'inverse la nuit voici le script qu'un ami m'a fait je voudrais savoir si vous pouvez le completer pour que tout cela marche et si jamais qq un est interessé de venir chez moi pour m'aider a regler tout ca en live ca me permettrait de mieux comprendre car j'avoue que pour l'instant c assez chaud je suis de paris meme donc si qq un est interessé n'hésitez pas car permet de faire conaissance en plus avec des passionnés Merci d'avance SCRIPT : #!/bin/sh # chkconfig: 2345 08 92 # # description: firewall with iptables. # ppp0 adsl # eth1 cable # eth2 dmz # eth3 wire # eth4 good DNS=1.2.3.4 WEB=1.2.3.4 SMTP=1.2.3.4 FTP=192.168.0.4 STREAM=1.2.3.4 PROXY=1.2.3.4 NTP=1.2.3.4 start() { echo -n "Loading fw: " iptables -F iptables -F -t nat iptables -F -t mangle iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # TOS # Minimize-Delay 16 (0x10) # Maximize-Throughput 8 (0x08) # Maximize-Reliability 4 (0x04) # Minimize-Cost 2 (0x02) # Normal-Service 0 (0x00) iptables -t mangle -A OUTPUT -p TCP --dport ftp-data -j TOS --set-tos 8 iptables -t mangle -A OUTPUT -p TCP --dport ftp -j TOS --set-tos 16 iptables -t mangle -A OUTPUT -p TCP --dport ssh -j TOS --set-tos 16 iptables -N adsl-me iptables -N dmz-me iptables -N adsl-dmz iptables -N dmz-adsl # Test de redirection de port # iptables -A FORWARD -p tcp -d $FTP --dport 21 -o eth2 -j ACCEPT iptables -A PREROUTING -t nat -p tcp -d 62.212.111.246 --dport 21 -j DNAT --to $FTP:21 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE iptables -A adsl-me -p TCP --destination-port auth -j REJECT iptables -A adsl-me -p TCP --destination-port ssh -j ACCEPT iptables -A adsl-me -p TCP -m limit --limit 4/s -j LOG --log-prefix "adsl-me adsl " iptables -A adsl-me -j DROP # iptables -A adsl-me -j ACCEPT iptables -A dmz-me -p TCP --destination-port auth -j REJECT iptables -A dmz-me -p TCP -m limit --limit 4/s -j LOG --log-prefix "dmz-me dmz " # iptables -A dmz-me -j REJECT iptables -A dmz-me -j ACCEPT iptables -A adsl-dmz -p TCP -d $FTP --dport ftp -j ACCEPT iptables -A dmz-adsl -p ICMP -j ACCEPT iptables -A adsl-dmz -p TCP -m limit --limit 4/s -j LOG --log-prefix "adsl-dmz good " iptables -A adsl-dmz -j DROP iptables -A dmz-adsl -p TCP --dport ftp -j ACCEPT iptables -A dmz-adsl -p ICMP -j ACCEPT iptables -A dmz-adsl -p TCP -m limit --limit 4/s -j LOG --log-prefix "dmz-adsl good " iptables -A dmz-adsl -j REJECT iptables -A INPUT -i lo -j ACCEPT # iptables -A INPUT -j DROP # Statefullness iptables -A INPUT -m state --state INVALID -m limit --limit 4/s -j LOG --log-prefix "INPUT INVALID " iptables -A INPUT -m state --state INVALID -j DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --tcp-flags ! ALL SYN -m state --state NEW -m limit --limit 4/s -j LOG --log-prefix "TCP INPUT without SYN " iptables -A INPUT -p tcp --tcp-flags ! ALL SYN -m state --state NEW -j DROP # iptables -A INPUT -i ppp0 -j adsl-me iptables -A INPUT -i eth2 -j dmz-me iptables -A INPUT -m limit --limit 4/s -j LOG --log-prefix "INPUT bad " iptables -A INPUT -j DROP iptables -A OUTPUT -j ACCEPT iptables -A FORWARD -m state --state INVALID -j DROP iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p TCP --tcp-flags ! ALL SYN -m state --state NEW -j DROP iptables -A FORWARD -i ppp0 -o eth2 -j adsl-dmz iptables -A FORWARD -i eth2 -o ppp0 -j dmz-adsl iptables -A FORWARD -m limit --limit 4/s -j LOG --log-prefix "FORWARD bad " iptables -A FORWARD -j REJECT echo 1 > /proc/sys/net/ipv4/ip_forward } stop() { iptables -t nat -F OUTPUT iptables -t nat -F PREROUTING iptables -t nat -F POSTROUTING iptables -F iptables -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP # rmmod ipt_LOG ipt_state ipt_REJECT iptable_mangle ip_nat_ftp ip_conntrack_ftp ipt_MASQUERADE } case "$1" in start) start ;; stop) stop ;; *) echo "Usage: fw {start|stop}" exit 1 esac exit 0

par **antolien** » 11 Juin 2003 12:04

il va te falloir utiliser autre chose qu'iptables pour la QoS (wondershaper par exemple) , et tu peux t'inspirer de ce document (merci wann) <a href="http://lartc.org/howto/lartc.rpdb.multiple-links.html" target="_blank">http://lartc.org/howto/lartc.rpdb.multiple-links.html</a> pour le load balancing et sinon, je ne suis pas vraiment expert en iptable mais il manque l'antispoof dans ta config iptables bon courage

par **nordlead75** » 11 Juin 2003 14:09

merci beaucoup de ta reponse et je vais essayer de me debrouiller avec ca mais en tout cas si qq un a un script qui pourrait coller avec ma config ca m'aiderait bien <IMG SRC="images/smiles/icon_biggrin.gif">

par **tomtom** » 11 Juin 2003 14:59

Je vais me pencher dessus, c'est une config très interressante mais il manque pas mal de trucs pour ton cahier des charges... seulement ca ne se fait pas en 5 minutes en ecrivant un post, donc je m'y colle pour un moment, je te recontacte <IMG SRC="images/smiles/icon_smile.gif"> T.

par **nordlead75** » 11 Juin 2003 15:52

Merci beaucoup Tomtom pour ta reponse Je comprends que tu n'es pas tous les elements et je suis a ta disposition pour te donner toutes les infos necessaires Je pourrais pousser le bouchon et te proposer de venir chez moi pour configurer tout ca car je crois que tu es de paris et moi aussi Mon reseau est assez sympa et si tu veux venir tu es le bien venu De plus cela me permettrait de comprendre car j'avoue que sur iptables il y a de tout sur le net mais bon..... Je suis dispo tous les jours a partir de 17h et le we aussi Merciiiiiiiiiiii!!!!! <IMG SRC="images/smiles/icon_biggrin.gif">

par **tomtom** » 11 Juin 2003 17:52

T'inquiètes, je laisse pas tomber..... Je me documente un peu, car il y a pas mal de boulot sur ton truc. En particulier tu peux commencer à verifier que tu as bien installé iproute2, et que tonnoyau est compilé avec l'option IP: policy routing (dans advanced router ou un truc du genre...). Ca va servir <IMG SRC="images/smiles/icon_biggrin.gif"> Je m'y replonge, ça va me plaire ce truc <IMG SRC="images/smiles/icon_razz.gif"> T.

par **nordlead75** » 11 Juin 2003 18:43

Je te remercie je vais deja regarder si ce que tu m'as demandé est deja installé cela sera deja ca de fait Merci Tomtom

par **nordlead75** » 12 Juin 2003 10:38

Merci encore pour ton aide J'ai vraiment appris hier

par **tomtom** » 12 Juin 2003 10:44

Ca a marché ? TU as pu compiler avec freeswan ? T.

par **nordlead75** » 12 Juin 2003 10:50

j'ai reussi oui mais le prob est que j'ai pas pu tout cocher dans le noyau car c ca qui cause l'erreur il doit y avoir des bugs je pense car en laissant ce qui est coché en natif ca fonctionne mais je pense que je vais reformater completement la machine pour que ca soit nickel je vais le faire surement en rentrant comme ca tout sera propre Il y a des petites choses que je n'ai pas du bien faire et comme ca le pc sera au top pour la suite <IMG SRC="images/smiles/icon_biggrin.gif"> Merci encore

Aide Iptables Debian et 5 cartes reseaux

Qui est en ligne ?