Mettre en place une passerelle sous linux [Tutoriel]

**gorgonite** · 10/08/2006, 20h34

Envoyé par novices

J'utilisais ça chez un client, sur une passerelle avec PII 233, et 3 fois rien comme ram, squidguard était déjà gourmand

Mais j'avais beaucoup de bien sur dansguardian effectivement à ce moment là

pas compris le détail sur dansguardian...

sinon je l'ai installé sur une debian sarge, PII-333MHz, 64Mo Ram, HD 4Go, et ça marche très bien avec un peu moins d'une dizaine de machines clientes

**gorgonite** · 25/08/2006, 12h40

Salut,

Je veux ajouter la possibilité de se connecter directement en ssh vers des machines extérieures... c'est un exemple qu'ils pourront ensuite adapter à d'autres services

J'ai pensé à ces règles iptables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
# on forwarde les paquets destinés au port tcp 22 de machines extérieures
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -p tcp -m tcp --dport 22
#
# n'accepter les connexions extérieurs qu'en réponse à une demande interne
iptables -D FORWARD -d zone_ip_interne/255.255.255.0 -j ACCEPT
iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Qu'en pensez-vous ?

surtout d'un point de vue sécurité et rapidité, bien sûr

**granquet** · 25/08/2006, 18h13

ça me fait pensé (puisque vous parlez de squid et de redirecteurs) que j'avais ecrit pour un stage un "chaineur" de redirecteurs squid (en C); c'est un redirecteur qui appelle une liste de redirecteurs ... ça permet entre autre d'utiliser squidguard et squidclam.

je ne sais pas si ça peux etre utile a quelqu'un. (j'avais fait ça sur commande de mon maitre de stage)
repris//corrigé//amelioré ...
breffe, j'en parle ici ... je met un lien vers le source ... je demenage demain et n'aurais pas le net pendant un petit moment ... donc debrouillez vous

**gorgonite** · 27/08/2006, 18h01

ton chaineur a l'air pas mal... mais es-tu sûr que ce soit nécessaire ?

je me demandes si l'on ne peut pas gérer cela avec les fichiers de config des modules... par exemple, sur dansguardain, tu lui donnes le ip/port sur lequel il écoute, et celui sur lequel il fait ses demandes

enfin, je ne connais pas tous les modules non plus...

**gorgonite** · 27/08/2006, 18h02

Envoyé par gorgonite

Qu'en pensez-vous ?

surtout d'un point de vue sécurité et rapidité, bien sûr

up... personne ne veut s'exprimer

**Spoutnik** · 27/08/2006, 22h14

hello,

j'ai un petit avis

Tes regles ne sont pas bonnes :

# n'accepter les connexions extérieurs qu'en réponse à une demande interne
iptables -D FORWARD -d zone_ip_interne/255.255.255.0 -j ACCEPT

Tu supprime la regle qui autoriserai tous les paquets fowardés entre les interfaces à destination du réseau interne, ca, ok (quoi que normalement inutile). Par contre, tu ne rejete pas ces paquets (supprimer la règle n'est pas faire une regle de suppression

). Il faut espérer qu'une règle bloque les paquets entrant, (un forward drop) sinon ...
Niveau sécu, c'est limite à mon avis

Et un peu confus de mélanger les -A et les -D

iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -m state --state ESTABLISHED,RELATED -j ACCEPT

tu laisse passer tous les paquets "réponse", OK (quoique, pas de règles de redirection, donc, normalement les paquets "NEW" n'arrivent jamais ici : pas à destination de ta machine interne mais de ta passerelle).
Par contre, tu n'a pas de règle qui autorise ici la machine interne à emettre des requetes (NEW) vers l'extérieur.

en plus, pas de filtrage de ports, tes regles s'adaptent à l'ensemble des connexions entrantes ...

A mon avis : (en supposant une politique par défaut à DROP)

iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -i eth0 -o eth1 --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s zone_ip_interne/255.255.255.0 -i eth1 -o eth0 --dport 22 -m state --state ! INVALID -j ACCEPT
##On active la translation d adresse pour l'ensemble du reseau local pour l ensemble des ports
iptables -t nat -A POSTROUTING -o eth0 -i eth1 -s zone_ip_interne/255.255.255.0 -d 0.0.0.0/0 -j MASQUERADE

(j'ai un doute sur le dport de la première ligne (dport ou sport ?).

++

PS : pour info gorgonite, l'article sur iptables devrait etre dispo en relecture en fin de semaine/ deb de semaine prochaine.

[edit] balises code -> balises quote

**gorgonite** · 28/08/2006, 09h47

Envoyé par Spoutnik

A mon avis : (en supposant une politique par défaut à DROP)
(j'ai un doute sur le dport de la première ligne (dport ou sport ?).

dport normalement, c'est bon...
en revanche, si j'ai bien compris, maintenant cela translate tous les ports "en sortie", ie depuis la zone verte on fait ce qu'on veut ; et ce n'est pas trop ce que je voulais... il faut que l'utilisateur soit conscient des risques pris à chaque ouverture de port, et qu'il juge si c'est vraiment nécessaire

Envoyé par Spoutnik

PS : pour info gorgonite, l'article sur iptables devrait etre dispo en relecture en fin de semaine/ deb de semaine prochaine.

je l'attends avec impatience

**Spoutnik** · 28/08/2006, 10h09

Envoyé par gorgonite

en revanche, si j'ai bien compris, maintenant cela translate tous les ports "en sortie", ie depuis la zone verte on fait ce qu'on veut ; et ce n'est pas trop ce que je voulais...

Non, ce n'est pas le cas :

iptables -A FORWARD -s zone_ip_interne/255.255.255.0 -i eth1 -o eth0 --dport 22 -m state --state ! INVALID -j ACCEPT

ici, tu n'autorise les requetes zone verte -> internet que sur le port 22, donc SSH à priori. D'ou l'importance des options -i et -o pour controler le sens des requetes!!!!
Si tu as une politique DROP par defaut, seules ces requetes seront autorisées, et il faudra ouvrir un par un les autres ports.

il faut que l'utilisateur soit conscient des risques pris à chaque ouverture de port, et qu'il juge si c'est vraiment nécessaire

Oui, mais il ne faut pas forcement tomber dans l'excès inverse. A priori, la zone verte est une zone de confiance, les requetes qui sortent peuvent être considérées comme valides. Ca dépend de la sévérité de sécu, et de la volonté d'implication dans l'administration du firewall.

[edit] balises code -> balises quote

**ovh** · 28/08/2006, 13h01

Mettez des quotes plutôt que des codes les gars, c'est plus lisible

**gorgonite** · 29/08/2006, 21h28

nouvelle version... qu'en pensez-vous ?

**gorgonite** · 27/09/2006, 23h35

je viens de voir qu'il existait cette ressource...
http://linux.developpez.com/secubook/node38.php

ça met en l'air tout notre boulot actuel

**Katyucha** · 28/09/2006, 08h39

Y a peut etre a revoir dedans, a rajouter des choses non?
Le secubook est assez vieux (et c'est fait très souvent oublié..)

**Spoutnik** · 28/09/2006, 10h28

Envoyé par gorgonite

ça met en l'air tout notre boulot actuel

Mais non!

Au contraire, ca fait un truc de plus qui permet de donner des idées.
Et puis, personnellement, j'aime pas trop les lignes mises dedans (reject et pas drop par ex).
Je l'ai lu en diagonale, mais je pense pas que qq un qui ne connait pas un peu d'avance IPtable (pour ne parler que de cette partie) puisse monter un firewall rapidement et sans s'arracher les cheveux, non?

++