|
|
|
Publicité ' | |||||||||||||||||||||||
01/11/2012, 18h34
|
#1 | ||
|
Membre habitué
 
  Pierre-jean Codeur du dimanche Inscription : janvier 2009 Messages : 466  |
iptables forward et DROP
Bonjour, je vois a quoi correspond INPUT et OUTPUT (facile) mais je ne saisit pas a quoi correspond FORWARD.
Sur mon serveur ubuntu il y a : Code :
A votre avis est-ce pour cela que je n'arrive pas à accéder au FTP? Si quelqu'un arrive à m'expliquer ce qu'est FORWARD je lui offre toute ma gratitude. Merci. |
||
|
00
|
|
01/11/2012, 22h45
|
#2 | |
  
Steph Architecte réseau Inscription : février 2012 Messages : 1 282 |
Citation:
 Ta question est relative au cheminement d'un paquet au travers d'un stack IP Unix. Le stack utilise 3 tables pour contrôler, router et éventuellement modifier un paquet. Ces tables sont : - la table FILTER pour la gestion des paquets qui ont pour destination/origine le firewall embarqué dans le kernel (concrètement, ces paquets ont pour adresse IP source/destination une des adresses IP locales à la machine Linux), - la table NAT, relative aux opérations de translation d'adresse source/destination, - la table MANGLE relative aux flux qui passent d'une interface à une autre (ces paquets ont pour adresse IP source/destination une adresse étrangère au stack)... Pour chacune de ces tables, il existe des chaînes associées  La responsabilité d'une chaîne, c'est d'évaluer le paquet IP afin de le contrôler dans son cheminement au travers du stack. Le problème (enfin, c'était le mien quand j'ai commencé à bricoler avec les iptables), c'est que certaines chaînes de tables différentes ont le même nom... Donc dire qu'on fait telle ou telle chose avec la chaîne X, ça ne veut rien dire... Il faut préciser qu'on fait quelque chose avec la chaîne X dans la table FILTER, NAT ou MANGLE.Voici les chaînes utilisées par les différentes tables. FILTER travaille avec 3 chaînes : - INPUT (paquets à destination du firewall embarqué), - OUTPUT (paquets émis par le firewall), - FORWARD (paquets qui traversent le firewall d"une interface vers une autre). NAT travaille avec 3 chaînes : - PREROUTING (généralement utilisé par la fonction DNAT, c'est à dire juste avant la 1ère décision de routage), - POSTROUTING (généralement utilisé par le SNAT, juste après la 1ère décision de routage), - OUTPUT (utilisée après la 2ème décision de routage lorsque le paquet a été S/D-NATté). MANGLE travaille avec 5 chaînes : - PREROUTING (1ère chaîne utilisée pour n'importe quel paquet entrant), - FORWARD (1ère chaîne utilisée pour n'importe quel paquet qui vient de passer la 1ère décision de routage), - INPUT (utilisée après la 1ère décision de routage lorsque la destination IP est le firewall embarqué, sera donc redirigé vers la table FILTER), - OUTPUT (utilisée après la 2ème décision de routage, notamment pour tracer les connexions ayant pour source le firewall embarqué), - POSTROUTING (utilisée juste avant que le paquet ne quitte la mqchine Linux, que le paquet soit émis localement par la machine Linux ou simplement traversé par le firewall embarqué). Bon, oui, pas simple Voilà le cheminement du paquet au travers du stack avec toutes les chaînes/tables :  Par défaut, une machine Linux munie de 2 cartes réseaux et configurée en IP Forwarding est une véritable passoire  Les tables et leurs chaînes associées permettent alors de protéger les réseaux locaux exposés aux menaces venant de réseaux "intrusted".Dans ton cas, les iptables semblent vides et d'après la description de ton problème, il y a fort à parier que c'est une machine Linux munie d'une seule carte réseau... Ta machine Linux n'est ni routeur, ni firewall... Est-ce correct ? Si c'est bien le cas, c'est un problème d'appli client/serveur localisé à un host... Est-ce que le serveur FTP est bien accessible ? Si ta machine possède plusieurs interfaces réseau, peux-tu poster un qui permettra de voir s'il y a des contrôles déjà configurés ? Steph
__________________
"#define QUESTION ((bb) || !(bb))" - Shakespeare |
|
|
|
10
|
|
02/11/2012, 14h33
|
#3 | ||
  
Chercheur d'emploi Inscription : septembre 2007 Messages : 4 614 |
Hello,
Citation:
Avant même de se pencher sur le filtre, une machine sous Linux a tout-à-fait la possibilité de se comporter en routeur et/ou en passerelle et donc de recevoir les paquets émis sur un brin pour les relayer vers un autre. C'est ce qui va se passer notamment lorsque tu fais un « partage de connexion Internet » même si cette notion est un peu tombée en désuétude depuis le tout-WiFi. En fait, dans ce dernier cas, c'est ta box ou ton routeur Wifi qui va se charger de ce travail mais celui-ci restera identique et il est même tout-à-fait plausible que la box que tu utilises fonctionne en réalité avec un noyau Linux. « FORWARD » est donc une chaîne qui concerne les paquets qui ne sont ni à destination de ta machine ni produits par elle, mais qui sont « en transit » en passant par elle. Attention également à la « politique », « Policy » en anglais, de chacune de tes règles principales : il s'agit de la cible à atteindre par défaut lorsque ton paquet ne correspond à aucun règle ou, a fortiori, lorsque la table est vide. Par défaut, toutes ces politiques sont « ACCEPT », donc pas de filtrage au départ, mais la plupart des distributions les configurent par défaut à DROP, de fait qu'ils seront silencieusement détruits. Trop de sécurité tue la sécurité, à mon avis… Citation:
|
||
|
|
00
|
|
02/11/2012, 18h34
|
#4 | |||||
|
Membre habitué
Pierre-jean Codeur du dimanche Inscription : janvier 2009 Messages : 466 |
Citation:
Code :
Code :
Merci. |
|||||
|
|
00
|
|
03/11/2012, 10h07
|
#5 | |||
|
Steph Architecte réseau Inscription : février 2012 Messages : 1 282 |
Citation:
Si tu vires la règle "any any", il faut ensuite ouvrir les ports tcp/udp correspondant aux services tomcat/apache, ça doit bien se trouver sur le net, ta config ne sort pas spécialement des chemins battus, voici un point de départ par exemple : http://rimuhosting.com/mod_jk2_and_mod_proxy_ajp.jsp et ouvrir les ports correspondant au service FTP hébergé par ton firewall : Code :
__________________
"#define QUESTION ((bb) || !(bb))" - Shakespeare |
|||
|
|
00
|
Copyright © 2000-2013 - www.developpez.com