Discussion :

[CronosDark35]

Bonsoir à tous =)

Je souhaite mettre en place un pare-feu avec des fonctions de routage séparant deux réseaux.
Tout ça juste pour le plaisir d'apprendre^^

Mon réseau est comme ceux-ci :

------------LAN-192.168.1.0/24---------------------

un serveur ftp en 192.168.1.10

------------PARE-FEU--------------------------------

eth1 : 192.168.1.254
eth0 : 10.10.10.3

------------"WAN"-10.10.10.0/29---------------------

un serveur ftp en 10.10.10.1

--------------------------------------------------------
Fichier de configuration du pare-feu :

j'ai configuré du NAT pour le réseau 192.168.1.0/24 avec l'adresse IP 10.10.10.3
Mais je souhaite rendre le serveur ftp 192.168.1.10:21 disponible sous l'adresse IP 10.10.10.3:21

j'utilise ces deux commandes ci-dessous, mais elles ne fonctionnent pas :

iptables -t nat -A PREROUTING -d 10.10.10.3/32 -i eth0 -p tcp -m tcp --port 21 j- DNAT --to-destination 192.168.1.10:21

iptables -t nat -A POSTROUTING -s 192.168.1.10/32 -o eth0 -j SNAT --to-source 10.10.10.3:21

Aucunes trames ne passent pas le pare-feu, je ne l'ai vois pas sur wireshark

Es-ce que vous pouvais m'aider à savoir où j'ai fait une erreur(ou plusieurs)?
J'ai recherché sur plusieurs sites, j'ai testé plusieurs commande mais cela ne marche pas.

Merci d'avance pour vos réponses!! =)

[Invité]

Salut,

je mets des noms d'interfaces parce qu'autrement on va s'emmêler les pinceaux.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
|----------| 192.168.1.0/24
      |
      |eth0
      |.254
   +-----+
   | F W |
   +-----+
      |.3
      |eth1
      |
|----------| 10.10.10.0/24

Voilà ce que je ferais.

Comme je ne sais pas ce que tu as configuré au préalable, faisons un reset du bazar

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

Comme tu veux NATter depuis ton LAN vers ton "adresse publique" eth1, il faut configurer un MASQUERADE :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Maintenant, je dois indiquer à mon firewall que toutes les connexions sortantes (eth0 -> eth1) sont autorisées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

et que seules les demandes de nouvelles connexions (TCP SYN), les paquets relatifs à un protocole (comme FTP qui utilise 2 ports TCP par exemple), ou les segments TCP de connexions déjà existantes sont autorisées dans le sens eth1 -> eth0 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -i eth1 -o eth0 -m state -d 192.168.1.0/24 --state NEW,RELATED,ESTABLISHED -j ACCEPT

Enfin, il ne reste plus qu'à configurer le port forwarding pour le serveur FTP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.3 --dport 21 -j DNAT --to-destination 192.168.1.10:21

Dis-nous ce que ça donne !

Steph

[CronosDark35]

Salut,

Merci d'avoir répondu si rapidement ! =)

J'ai fais les modifications tu m'as dis mais cela ne marche toujours pas.
Toujours le même problème : impossible de se connecter sur le serveur ftp 192.168.1.10 avec 10.10.10.1 sur l'adresse IP 10.10.10.3:21

Voici mon fichier de configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
#!/bin/bash
 
# Vidage des tables
iptables -F
iptables -X
iptables -t nat -F 
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
 
# Acitivation du routage
echo 1 > /proc/sys/net/ipv4/ip_forward
 
# Activation IP MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
# Routage pour le réseau 192.168.1.0/24
iptables -t nat -A POSTROUTING 192.168.1.0/24 -o eth0 -j MASQUERADE
 
# Port Forwarding (modifié après la lecture de ta réponse)
iptables -t nat -A PREROUTING -p tcp -d 10.10.10.3 --dport 21 -j DNAT --to-destination 192.168.1.10:21
 
# Règle de filtrage
        # j'accepte tout le trafic (juste pour le moment)
        iptables -t filter -A INPUT -i eth0 -j ACCEPT
        iptables -t filter -A OUTPUT -i eth0 -j ACCEPT
        iptables -t filter -A INPUT -i eth1 -j ACCEPT
        iptables -t filter -A OUTPUT -i eth1 -j ACCEPT
 
# Les commandes  que j'ai rajouté après la lecture de ta réponse 
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth0 -m state -d 192.168.1.0/24 --state NEW,RELATED,ESTABLISHED -j ACCEPT

[Invité]

Quel est le type exact du firewall ?

Et sans aucun filtrage, c'est à dire uniquement avec les règles

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
iptables -F
iptables -X
iptables -t nat -F 
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

est-ce que tu peux ouvrir une session FTP depuis 10.10.10.1 vers 192.168.1.10 ?

Steph

[CronosDark35]

Sans aucun filtrage cela ne marche pas, non plus.

La connexion au serveur ftp 10.10.10.1 et le client 192.168.1.10 ne se fait pas. Les trames ftp ne passent pas le "pare-feu".
Ceux-ci est normal, vue que le réseau 192.168.1.0/24 est accessible sous l'adresse 10.10.10.3(NAT).

La connexion entre serveur ftp 192.168.1.10 et le client 10.10.10.1 fonctionne(je n'ai jamais eu de problème dans ce sens).
En "siffant" le réseau avec la machine 10.10.10.1, le client 192.168.1.10 apparaît sous l'adresse IP 10.10.10.3.

Mon problème vient du routage statique car il ne se passe rien.

[Invité]

Ceux-ci est normal, vue que le réseau 192.168.1.0/24 est accessible sous l'adresse 10.10.10.3(NAT).

Comment est déclenché le NAT puisqu'on a vidé les iptables ?
Et on ne sait toujours pas quel type exact de firewall tu utilises...

Steph

[CronosDark35]

Oui, pardon.
J'utilise un pare-feu de filtrage simple de paquet sous ubuntu serveur 14.04.

J'avais mal compris. Maintenant, j'ai enlevé tout les règles. Sauf celle que tu m'a indiqué.

Les machines 10.10.10.3 et 192.168.1.10 ne communique pas entre elles. Mais la machine 192.168.1.10 seulement à accès (en pingant) à 10.10.10.3 et 192.168.1.254 Et la machine 10.10.10.1 seulement à accès (en pingant, toujours) à 10.10.10.3 et 192.168.1.254

[Invité]

Je pense que tu n'as pas activé le routage sur ta machine ubuntu.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo 1 > /proc/sys/net/ipv4/ip_forward

Steph

[CronosDark35]

Si, je l'ai fait, regarde dans mon fichier de configuration un peu plus haut dans le topic.
Mais j'ai enlevé cette commande quand tu m'a dit d'enlever toutes les règles de filtrage.

Et je me demande si se ne serais pas un problème d'ubuntu! Je pense tout réinstaller le système quand pense tu?

[Invité]

Ah, j'avais pas fait gaffe.

Alors fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
echo 1 > /proc/sys/net/ipv4/ip_forward
 
 
iptables -F
iptables -X
iptables -t nat -F 
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

puis regardes si tu peux te connecter sur le serveur FTP 192.168.1.10 à partir de la machine 10.10.10.3.

Steph

[CronosDark35]

Cela fonctionne.
la machine 10.10.10.1 a accès au serveur ftp de la machine 192.168.1.10(en désignant l'ip 192.168.1.10 au client ftp 10.10.10.1).

[Invité]

Parfait !

Allons-y par étapes.

Maintenant, tu rajoutes ces lignes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
 
iptables -t filter -A INPUT -i eth0 -j ACCEPT
iptables -t filter -A OUTPUT -i eth0 -j ACCEPT
iptables -t filter -A INPUT -i eth1 -j ACCEPT
iptables -t filter -A OUTPUT -i eth1 -j ACCEPT

Là, on fait du SNAT en substituant les adresses 192.168.1.x par 10.10.10.3.

Normalement, tu devrais pouvoir pinguer l'adresse 10.10.10.1 depuis 192.168.1.10.
Tu devrais aussi pouvoir lancer un FTP depuis l'adresse 192.168.1.10 sur le serveur FTP 10.10.10.1.

Steph

[CronosDark35]

Cela marche sans problème.

La machine 192.168.1.10 ping et peut se connecter au serveur ftp 10.10.10.1 (avec l'adresse IP 10.10.10.3).
Mais pas l'inverse(normale pour le moment).

[Invité]

OK...

Maintenant ajoutes la ligne suivante en fin de ton script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t nat -A PREROUTING -p tcp -d 10.10.10.3 --dport 21 -j DNAT --to-destination 192.168.1.10:21

Steph

[CronosDark35]

Cela fonctionne.

La Machine 10.10.10.1 a accès au serveur ftp 192.168.1.10 (avec l'adresse IP 10.10.10.3).

[Invité]

Cela fonctionne.

La Machine 10.10.10.1 a accès au serveur ftp 192.168.1.10 (avec l'adresse IP 10.10.10.3).

C'était l'ordre des règles.

C'est pourquoi il est toujours préférable d'aller du plus simple au plus coimpliqué :

- routage pur,
- NAT Overload (Masquerade) et test flux sortant
- Port Forwarding et test flux entrant.

Steph

[CronosDark35]

Par contre, je peux contacter le serveur ftp 192.168.1.10 avec l'adresse IP de pare-feu et la sienne; es-ce que c'est normal que avec mon fichier de configuration actuel?
Une autre petite question où doivent être les règles de filtrage dans le fichier, je peux les mettre dans un autre fichier (c'est mieux non? )?

[Invité]

Par contre, je peux contacter le serveur ftp 192.168.1.10 avec l'adresse IP de pare-feu et la sienne.
es-ce normal avec mon fichier de configuration actuel?

Oui, c'est normal...

Je te laisse chercher un peu

Parce que c'est les grèves et j'ai intérêt de partir maintenant

Steph

[CronosDark35]

D'accord, je te remercie de ton aide, et de ta patience car tu as bien pris le temps de m'aider.

Bonne fin journée!!!
Et bonne chance avec les grèves.