SNAT IP Publique

par **lfraison** » 10 Sep 2003 18:32

J'ai un IPCop 1.3.0 ainsi qu'une plage d'adresse IP Publiques pour ma DMZ. Afin de permettre l'échange de tous les protocoles voulus pour chaque serveur de ma DMZ j'ai opté pour une affectation d'une IP publique à mon interface orange ainsi qu'à chacun des serveur de ma DMZ. Après moults recherches j'ai trouvé sur ce forum ceci : Modification du fichier /etc/rc.d/rc.firewall avec les lignes suivantes à insérer avant la ligne # Outgoing masquerading /sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE # Rajout perso SNAT /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.25 -j SNAT --to-source 195.xxx.xxx.25 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.26 -j SNAT --to-source 195.xxx.xxx.26 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.27 -j SNAT --to-source 195.xxx.xxx.27 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.28 -j SNAT --to-source 195.xxx.xxx.28 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.29 -j SNAT --to-source 195.xxx.xxx.29 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.30 -j SNAT --to-source 195.xxx.xxx.30 Le hic, c'est que cela ne fonctionne pas... Peut-être qu'un pro d'IPCop et/ou de netfilter peut me donner la solution ? LF <IMG SRC="images/smiles/icon_cry.gif">

par **tomtom** » 10 Sep 2003 21:38

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-10 18:32, lfraison a écrit: J'ai un IPCop 1.3.0 ainsi qu'une plage d'adresse IP Publiques pour ma DMZ. Afin de permettre l'échange de tous les protocoles voulus pour chaque serveur de ma DMZ j'ai opté pour une affectation d'une IP publique à mon interface orange ainsi qu'à chacun des serveur de ma DMZ. Après moults recherches j'ai trouvé sur ce forum ceci : Modification du fichier /etc/rc.d/rc.firewall avec les lignes suivantes à insérer avant la ligne # Outgoing masquerading /sbin/iptables -t nat -A RED -o $IFACE -j MASQUERADE # Rajout perso SNAT /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.25 -j SNAT --to-source 195.xxx.xxx.25 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.26 -j SNAT --to-source 195.xxx.xxx.26 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.27 -j SNAT --to-source 195.xxx.xxx.27 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.28 -j SNAT --to-source 195.xxx.xxx.28 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.29 -j SNAT --to-source 195.xxx.xxx.29 /sbin/iptables -t nat -A POSTROUTING -s 195.xxx.xxx.30 -j SNAT --to-source 195.xxx.xxx.30 Le hic, c'est que cela ne fonctionne pas... Peut-être qu'un pro d'IPCop et/ou de netfilter peut me donner la solution ? LF <IMG SRC="images/smiles/icon_cry.gif"> </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Attends de 2 choses l'une : Soit tu as mis une ip publique directement su chaque serveur (ettention dans ce cas là aux masques de sous-réseau, car il faut IMPERATIVEMENT que le orange et le red soient dans d2 subnets ditincts !!!) Soit tu mets des adresses privées sur les serveurs de dmz, et tu fais un nat statique pour utiliser une des adresses publiques pour sortir. Dans ce cas, c'est l'interface RED qui "possède" toutes les adresses publiques (alias externes) et qui les utilise pour envoyer des paquets sur internet. Les paquets sont au retour envoyés directement vers le bon serveur (DNAT pour les paquets entrants, SNAT pour les paquets sortants). Si tu utilises le SNAT, je suppose que tu as choisi la seconde methode. Dans ce cas là tu dois avoir des ip privées sur le orange. Attention également, il faut absolument filtrer le masquerading pour qu'il ne se fasse plus que depuis le green (avec un -i $IFACE_GREEN par exemple) puisque depuis la DMZ on fera deja du SNAT, et que ce n'est pas la peine de faire les choses en double. La différence entre le SNAT et le masquerading est que le SNAT permet de specifier une adresse source et n'utilise pas celle par defaut de l'interface de sortie, ce qui sera interressant dans le cas ou tes serveurs doivent toujours sortir sur Internet en utilisant la même addresse. Si tu n'as pas ce besoin, tu peux te contenter d'un masquerading general (supprime simplement toutes les lignes avec le SNAT) et pense bien à mettre des ip privées... A ta dispo pour ton complément d'informations, si je n'ai aps été assez clair ! Thomas

par **lfraison** » 10 Sep 2003 22:08

En fait j'ai utilisé la première méthode : interface Red avec une IP fixe indépendante de la classe que j'utilise pour les serveurs en dmz et pour l'interface orange. A mon avis, je me suis bien mis dedans non ? As-tu ma solution en te remerciant par avance ! LF

par **lfraison** » 10 Sep 2003 22:17

En lisant ma réponse je me suis apperçu que tout n'y était pas. J'ai choisit la méthode d'affecter directement des adresses IP publiques à chacun des serveurs car ils servent différents flux de streaming, et donc j'ai besoin de les voir utiliser chacun leur propre adresse IP en sortie et non celle de l'interface RED comme c'est le cas par défaut avec IPCop. Pour moi cette solution est plus simple car comme je gère mes propres DNS je n'ai rien à modifier sur IpCop hormi l'ouverture des accès externe pour chaque port de chaque serveur et la sécurité et sensiblement la même qu'avec un renvois de ports vers des adresses privées, d'après ce que j'ai pu en lire ici ou là... Je cherche donc la solution pour ne pas "masquerader" chacun de mes sevreurs DMZ tout en conservant cette fonction pour l'IP Orange et pour mon Lan. Je testerais un firewall openbsd plus solides dès que j'ai 15 jours devant moi... D'avance merci de tes conseils éclairés. LF

par **tomtom** » 10 Sep 2003 22:20

Je n'ai probablemnt pas la solution en 2 lignes, mais si tu utilises les ip publiques directement sur les serveurs, tu dois : 1- Supprimer tout le masquerading pour les paquets en provenance de orange. -> Tu dois modifier la ligne de masquerading ainsi : /sbin/iptables -t nat -A RED -s 192.168.0.0/24 -o $IFACE -j MASQUERADE (si 192.168.0.0/24 est ton green bien sur <IMG SRC="images/smiles/icon_wink.gif"> ) Pour ne pas masquer ce qui arrive des ip publiques du orange. 2- Tu dois supprimer toutes les lignes de SNAT (tu n'aspas besoin de modifier les adresses puisque ce sont deja les @ publiques ! ) 3- Tu dois faire TRES TRES TRES attention avec les masques de sous-reseaux. 4- Tu dois probablement modifier les tables de routage de ipcop (à verifier, je n'ai jamais fait) pour prendre en compte cette architecture un peu speciale. Je peux t'aider si tu m'envoie un schema clair et complet de ton archi reseau (tu peux modifer si tu veux...) par mail, mais par contre mon emploi du temps du moment ne me permet pas de consacrer bcp de temps à ce genred e choses, donc faudra pas etre pressé... Note au passage : Si tes serveurs de DMZ n'utilisent pas d'applis tordues qui ne supporteraient pas le NAT, je te conseille VIVEMENT d'utiliser la deuxième methode. Avantages immédiats : -Minimum 2 (plus probablement 4) ip economisées. -Masquage de la veritable IP des serveurs (pratique si tu decide de modifier les ip ou si tu augmentes le noùmbre de serveurs et que tu n'as plaus assez d'ip publiques <IMG SRC="images/smiles/icon_wink.gif"> ) -Toutes les connexions entrantes subiront un premier filtrage plus simple par le firewall (sinon tu peux aussi, mais la config est plus longue...) Thomas

par **lfraison** » 10 Sep 2003 22:45

Thomas, Bon, tu sembles m'avoir convaincu de passer au masquerading complet avec transferts des ports. Mais avant de tout reconfigurer je veux être sûr des modifs à faires : 1 - Modifier mes règles de SNAT avec des Ip privées soit pour chaque serveur : /sbin/iptables -t nat -A POSTROUTING -s 198.168.xxx.xxx -j SNAT --to-source 195.xxx.xxx.xx avant la ligne indiquée dans mon premier mail dans mon rc.firewall afin de donner une adresse de sortie unique à chaque serveur 2 - rajouter <-i $IFACE_GREEN > mais je ne sais pas trop où... 3 - Rajouter les règles d'anti spoofing pour ne pas être attaqué d'Internet avec des IP privées (comme suggéré par antolien sur son site ); 4 - Faire mes renvois de ports pour chaque serveur 5 - changer mes reverses DNS et mes DNS en rajoutant les adresses IP privées pour chaque serveurs et laisser les reverse et les dns déjà configurés pour les Ip publiques 6 - penser à t'envoyer un mail de remerciement quand tout sera finit et si je n'oublie rien. LF

par **lfraison** » 10 Sep 2003 22:53

Thomas, Avant de tout modifier j'ai quand même testé ce que tu m'as dit. En fait il suffit de rajouter -s 192.168.200.100/28 à la ligne de masquerading et le tour est joué. Les règles de routages par défaut fonctionnent impec... Mais jattends ta réponse pour quand même faire la méthode que tu suggère même si je dois y passer la nuit. Loïc

par **tomtom** » 10 Sep 2003 23:08

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 1 - Modifier mes règles de SNAT avec des Ip privées soit pour chaque serveur : /sbin/iptables -t nat -A POSTROUTING -s 198.168.xxx.xxx -j SNAT --to-source 195.xxx.xxx.xx avant la ligne indiquée dans mon premier mail dans mon rc.firewall afin de donner une adresse de sortie unique à chaque serveur </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Exactement <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 2 - rajouter <-i $IFACE_GREEN > mais je ne sais pas trop où... </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> en fait apres reflexion on ne peut pas utiliser -i sur le postrouting, mais tu peux specifier l'adresse source en revanche (exactement comme dans mon message precedant) pour ne plus faire le masquerading sur ce qui vient du orange <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 3 - Rajouter les règles d'anti spoofing pour ne pas être attaqué d'Internet avec des IP privées (comme suggéré par antolien sur son site ); </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Oui mais ca ca devrait deja y etre <IMG SRC="images/smiles/icon_wink.gif"> <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 4 - Faire mes renvois de ports pour chaque serveur </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Pas forcemment.. Tu as deux approche : 1- ce qui arrive sur le red (quelle que soit l'ip) sur le port 80, tu l'envoie au serveur web. Dans ce cas, là, oui, pour tous les ports tu dois faire la redirection... Idem pour les autres services.. Problème : si tu as plusieurs serveurs, ils ne peuvent pas ecouter facilement sur le même port. Avantage : sur les serveurs, n'arrivent que les paquets correspondant au service fourni.... 2- tu decides de garder l'independance de chaque serveur. Tu fais une redirection d'adresse au lieu de port. ex : iptables -t nat -A PREROUTING -d 195.xxx.xxx.xxx -j DNAT --to 192.168.xxx.xxx en faisant correspondre bien sur les addreses privées et ubliques des serveurs. Avec cette option, tous les paquets à destination d'une certaine ip publique seront transférés d emanière transparente au serveur correspondant. L'avantage est qu'un serveur peut faire plein de choses, et surtout que tu peux avoir le même service sur plusieurs serveurs (ex : un serveur ssh psur chaque, sur le port 22). L'inconvenient est que tu risque de devoir faire du filtrage pour chaque : ex : si un serveur accept les ocnnexion web et un autre le ftp, il serait prudent de ne laisser que les paquets correspondants passer, ce qui rajoute des lignes ! <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 5 - changer mes reverses DNS et mes DNS en rajoutant les adresses IP privées pour chaque serveurs et laisser les reverse et les dns déjà configurés pour les Ip publiques </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Heuuuu. C'est un point sensible.... Si tu utilises le DNS pour resoudre en interne (pour le green) les noms des serveurs, il faut qu'il retourne les adresses privées. Mais ceci est deconseillé, cela devrait etre reservé à un dns interne (sur le green). Par contre, si tu heberges ton propre serveur dns public, là tu dois imperativement renvoyer les adressespubliques. Je sais que bind est capable de repondre differemment à des requetes en fonction de la source, mais pour des raisons de securité, il vaut largement mieux mettre un dns dans le green pour les requetes locales, et un autre dans la DMZ pour les requets du web... <TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> 6 - penser à t'envoyer un mail de remerciement quand tout sera finit et si je n'oublie rien. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Auucun problème ça me fait plaisir <IMG SRC="images/smiles/icon_bise.gif"> Thomas

par **lfraison** » 10 Sep 2003 23:24

Thomas, Peux-tu m'éclairer un peu plus sur le point n°4 : Chaque serveur utilise au moins un service en commun (ftp, web et ssh, streaming sur 5 ports identiques), et certains sont spécialisés (dns prmaire et secondaire, smtp, imap4,sql,...) bref je souhaite tout bloquer en entrée sur chaque serveur et décider ce que je laisse entrer INDIVIDUELLEMENT pour chacun afin de limiter mes resques au maxi. Pour l'instant j'ai uniquement utilisé conjointement sur le GUi IPcop (sans modif manuelle de rc.firewall hormi l'IP spoofing bien sûr <IMG SRC="images/smiles/icon_wink.gif"> ): - l'accès aux services externes pour chaque alias et pour chaque port; - le renvois de port pour chaque port et pour chaque alias . Mais je ne suis pas sûr que cela soit suffisant (j'ai pas eu le temps d'installé Nessus sur le servur que j'ai encore aux US). Qu me recommandes-tu ? Loïc

par **tomtom** » 11 Sep 2003 09:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-10 23:24, lfraison a écrit: Thomas, Peux-tu m'éclairer un peu plus sur le point n°4 : Chaque serveur utilise au moins un service en commun (ftp, web et ssh, streaming sur 5 ports identiques), et certains sont spécialisés (dns prmaire et secondaire, smtp, imap4,sql,...) bref je souhaite tout bloquer en entrée sur chaque serveur et décider ce que je laisse entrer INDIVIDUELLEMENT pour chacun afin de limiter mes resques au maxi. Pour l'instant j'ai uniquement utilisé conjointement sur le GUi IPcop (sans modif manuelle de rc.firewall hormi l'IP spoofing bien sûr <IMG SRC="images/smiles/icon_wink.gif"> ): - l'accès aux services externes pour chaque alias et pour chaque port; - le renvois de port pour chaque port et pour chaque alias . Mais je ne suis pas sûr que cela soit suffisant (j'ai pas eu le temps d'installé Nessus sur le servur que j'ai encore aux US). Qu me recommandes-tu ? Loïc </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Je ne sais plus bien comment se comporte le GUI d'IPCop avec les alias. Je vais me repeter : Tu as 2 solutions. Soit tu crees un transfert d'ip (non filtré sur le port). En clair, cela correspondrait au transfert de port de ipcop, mais pour tous les ports. Cela ne peut pas se faire je pense par le GUI, il faut le faire à la main. Ca se comporte ainsi : Tous les paquets arrivant à destination de ip 195.xxx.xxx.xxx sont envoyés vers le serveur 192.168.xxx.xxx QUEL QUE SOIT LE PORT DESTINATION. Ensuite, tu peux ajouter du fitrage pour chaque serveur (par exemple bloquer tel ou tel port pour tel servuer....) Soit tu prends l'aspect inverse : Tu transfère UNIQUEMENT les ports necessaires vers les serveurs correspondants. Ex : 195.xxx.xxx.xxx:25 -> 192.168.xxx.xxx:25 195.xxx.xxx.xxx:80 -> 192.168.xxx.xxx:80 195.yyy.yyy.yyy:25 -> 192.168.yyy.yyy:25 195.yyy.yyy.yyy:22 -> 192.168.yyy.yyy:22 etc... Problème : Je ne sais pas si le GUI d'ipcop permet de specifier l'adresse destination dans les transferts de ports (dans le cas des alias), sinon c'est clairement la meilleure solution. Cela correspond à ce que tu as fait je pense. Le gros avantage est de ne transferer que ce qui est necessaire sur les serveurs... D'un autre coté, ca ajoute du boulot pour ton firewall et il doit etre suffisamment dimmensionné... T.

par **lfraison** » 12 Sep 2003 02:01

Ca y est j'ai enfin tout reconfiguré. Ca marche bien sauf que je ne peux pas transférer par ftp ni du green vers l'orange ni du red vers l'orange malgré l'ouverture des ports et leurs transferts. As-tu une idée. Encore merci.... Loïc

par **lfraison** » 12 Sep 2003 08:24

Bonjour TomTom, Comme la nuit porte conseil, mes tests de ce matin m'ont donné la réponse pour le ftp : mode passif obligatoire, or sur freebsd c'est pas le mode par défaut !!!! Par contre j'ai remarqué un point particulier : depuis la mise en place des IP privées sur la dmz, je n'accède pas rapidement à mon serveur de mail, via le webmail qui y est installé. Cela ce produit aussi bien depuis l'extérieur que depuis le lan. pour ce dernier j'ai testé aussi bien l'accès à l'adresse privée qu'a l'adresse publique. Penses-tu que cela soit du à IpCop, ou plutôt à la machine qui le fait tourner : un PII 233mhz 64 Mo ram ? Dois-je augmenter pour un pIII et/ou pour plus de Ram ? Merci d'avance ? LF

par **tomtom** » 12 Sep 2003 13:30

Si tu as bcp de transactions sur le IPCop, ca va faire un peu leger comme config.... Par contre, si tu es en phase de test et qu'il n'y a personne, ca devrait traiter assez vite..... Je ne sais pas..... Je crois qu'il existe des benchmarks avec IPCop et certains nombres d'utilisateurs, je ne me suis jamais penché sur ce sujet... T.

SNAT IP Publique

Qui est en ligne ?