Partage de connexion et Drop d'une plage d'ip [Résolu]

modjo77 · 15/02/2011, 14h25

Bonjour,

Dans un premier temps voici des détails qui vous seront je pense utile :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Eth0 : 192.168.10.2 ( WAN )
Eth1 : 172.16.31.1 ( LAN )

Voilà j’ai réussi l’installation d’une machine sous débian, cette machine possède 2 cartes réseaux, eth0 est sur la connexion Internet, eth1 est sur un switch.
Sur cette machine j’ai installé un serveur DHCP et mi en place des règles iptables pour effectuer un partage de connexion, jusqu’ici pas de problème.

Seulement au moment ou j’ai décidé de mettre par défaut la règle de tout à DROP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
iptables -A INPUT -i eth1 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -A OUTPUT -o eth1 -p udp -d 172.16.31.1 --dport 67:68 --sport 67:68 -j ACCEPT
 
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE

Mes machines raccordées au switch n’ont plus Internet (bien entendu je comprends pourquoi suite à ma manipulation). J’ai bien ajouté la règle pour le serveur DHCP, il fonctionne pour les machines clientes.

Mais je n’arrive pas à trouver la règle qui me permet d’avoir à nouveau Internet sur mes machines derrière le switch. Car je ne souhaite pas autoriser les requêtes en http ou sur un port en particulier, mais je souhaite autoriser les requêtes par plage d’adresse ip.
C'est-à-dire qu’une requête peut demander à aller régulièrement sur une même plage d’adresse ip, mais en utilisant un port source et de destination différente.

Type de règle que j’ai essayé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -A INPUT -m iprange --src-range 82.165.48.27-82.165.49.33 -j ACCEPT
iptables -A OUTPUT -m iprange --src-range 82.165.48.27-82.165.49.33 -j ACCEPT
iptables -A FORWARD -m iprange --src-range 82.165.48.27-82.165.49.33 -j ACCEPT

Merci d’avance de votre aide

Alek-C · 15/02/2011, 18h04

Citation:

C'est-à-dire qu’une requête peut demander à aller régulièrement sur une même plage d’adresse ip, mais en utilisant un port source et de destination différente.

Je ne suis pas sûr de comprendre cette phrase : je vois mal comment une requête peut aller sur une plage d'ip et encore moins régulièrement.

Je comprends ça comme "une machine peut faire une requête vers une plage d'ip" (je ne pense pas que la notion de régularité soit importante ?).

Mais du coup, ça ne colle pas avec ton exemple en dessous et notamment l'option --src-range (ce que tu veux, c'est restreindre les destinations non ?).

En bref, si ce que tu cherches, c'est à autoriser les machines de ton réseau à établir des connexions à Internet via ton serveur selon certaines règles, je pense qu'il faudrait utiliser aussi --dst-range en FORWARD, mais je peux me gourer.

Par exemple (jamais fait, jamais testé, donc aucune garantie

) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -A FORWARD -i eth1 -m iprange --dst-range 82.165.48.27-82.165.49.33 -j ACCEPT
iptables -A FORWARD -i eth0 -m iprange --src-range 82.165.48.27-82.165.49.33 -j ACCEPT

Selon moi, ces deux règles permettent d'autoriser les packets en forward arrivant sur l'interface eth1 (donc depuis le réseau local) et à destination des ips indiquées ou sur l'interface eth0 (donc depuis internet, ou plus exactement ton routeur) et ayant pour source les ips indiquées.

Mais c'est peut-être pas du tout ce que tu veux ?!

modjo77 · 15/02/2011, 20h56

Merci de m’avoir lu et essayer de trouver une solution à mon problème.

Après quelques changements dans mes règles iptables, j'ai fini par bloquer les plages d'adresse IP que je n'utilise pas plutôt que d'accepter les plages d'adresse IP que je dois utiliser.

Avec un mix de la règle de Alek-C et ma dernière découverte ( Remplacer iptables -A -> iptables -I ), avec le code suivant d'après IPTraf, aucuns packets pour toutes les requêtes vers les IP DROP ( exemple réaliser sur la plage d'adresse IP du portail Orange )

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
iptables -I FORWARD -i eth1 -m iprange --dst-range 193.252.148.1-193.252.148.254 -j DROP
iptables -I FORWARD -i eth0 -m iprange --src-range 193.252.148.1-193.252.148.254 -j DROP
 
# Ou plus simple
iptables -I FORWARD -i eth1 -d 193.252.148.0/23 -j DROP
iptables -I FORWARD -i eth0 -s 193.252.148.0/23 -j DROP

Bien entendu il faut faire attention à ne pas bloquer la plage d’adresse IP de votre réseau local, ci-dessus la règle n’est qu’un aperçu de la solution à mon problème

Alek-C · 16/02/2011, 11h05

Bon, je n'ai toujours pas saisi la finalité, mais si tu as trouvé, c'est l'essentiel

tu peux cliquer sur Résolu, ça fera plus propre :p

16/02/2011, 11h05	#4
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Bon, je n'ai toujours pas saisi la finalité, mais si tu as trouvé, c'est l'essentiel tu peux cliquer sur Résolu, ça fera plus propre :p
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email