Passerelle sous debian

[kippix]

Bonjours a tous,

voila je voudrai savoir si quelqu'un pourrai m'aider.

Etant donner que j'ai plusieur questions, et si sa ne derrange pas les admin je vous redirige vers mon wiki section firewall.
Censured

Pour info, mon soucis et que je n'arrive pas a configurer ma passerelle. je vous montre mon script...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
#!/bin/bash                                                                                                                    
 
IfaceDmz="eth2"
IfaceLan="eth1"
IfaceNet="eth0"
 
IDmzIp="Ip de l'interface eth2"
ILanIp="Ip de l'interface eth1"
INetIp="Ip de l'interface eth0"
 
IpLan="Ip du réseau Lan"
IpDmz="Ip du réseau Dmz"
IpNet="Ip du réseau Net"
 
IpServWeb=""
IpServFichier=""
IpPoste=""
 
echo -e "--=[ \033[40m\033[1;31m Supression des regles existantes \033[0m ]=--"
 
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -Z
iptables -t nat -X
iptables -t mangle -Z
iptables -t mangle -F
iptables -t mangle -X
 
echo -e "--=[ \033[40m\033[1;31m Initialisation de la police par defaut \033[0m ]=-"
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
 
echo -e "--=[ \033[40m\033[1;31m Autorisation de l'ICMP sur eth1 et lo \033[0m ]=-"
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $IfaceLan -p icmp -j ACCEPT
iptables -A OUTPUT -o $IfaceLan -p icmp -j ACCEPT
 
echo -e "--=[ \033[40m\033[1;31m FORWARD entre Eth0 et Eth1 \033[0m ]=-"
 
#iptables -A FORWARD -s $IpPoste -d $IpPosteTestNet -p icmp -j ACCEPT                                                         
#iptables -A FORWARD -s $IpPosteTestNet -d $IpPoste -p icmp -j ACCEPT                                                         
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -s $IpLan -d $IpNet -p tcp --dport 80 -m state --state NEW -j ACCEPT
 
#iptables -A FORWARD -i $IfaceLan -o $IfaceNet -p icmp -j ACCEPT                                                               
#iptables -A FORWARD -i $IfaceLan -o $IfaceNet -p tcp --dport 80 -j ACCEPT                                                     
 
#iptables -A FORWARD -i $IfaceLan -o $IfaceNet -p tcp -j ACCEPT                                                                
#iptables -A FORWARD -o $IfaceLan -i $IfaceNet -p tcp --dport 53 -j ACCEPT                                                     
#iptables -A FORWARD -i $IfaceLan -o $IfaceNet -p tcp --dport 53 -m state --state NEW -j ACCEPT                                
 
echo -e "--=[ \033[40m\033[1;31m NAT entre Eth0 et Eth1 \033[0m ]=-"
 
#iptables -t nat -A POSTROUTING -o $IfaceNet -j MASQUERADE                                                                     
#iptables -t nat -A PREROUTING -i $IfaceNet -p tcp --dport 80 -j DNAT --to-destination $IpPoste                             
iptables -t nat -A PREROUTING -d $IpNet -j NETMAP --to $IpLan
iptables -t nat -A POSTROUTING -s $IpLan -j NETMAP --to $IpNet
 
echo -e "--=[ \033[40m\033[1;32m Verif Generale \033[0m ]=--"
iptables -L
echo -e "--=[ \033[40m\033[1;32m Verif Nat \033[0m ]=--"
iptables -t nat -L
echo -e "--=[ \033[40m\033[1;32m Verif Mangle \033[0m ]=--"
iptables -t mangle -L

Merci a tous.

[gorgonite]

a priori, ça dérange.. mieux vaut que tout soit marqué ici



sinon as-tu lu mon article sur les passerelles (cf ma signature) ?

[kippix]

Ok je met mon site en signature et je vire le lien direct

Sinon pour les questions :

je voudrai deja savoir qu'es qui est nécessaire pour faire de la translation d'ip
Alors je sait qu'il y'a la cible masquerade

mais es la seule?? je pense a SNAT/DNAT, NETMAP, FORWARD

J'ai un peu de mal je comprendre le fonctionnement.


Par exemple j'ai la topologie suivante:


si on admet le debut de mon script du post ci-dessus quelle sont les manipulations qui permettent d'autoriser les clients du réseau Lan d'acceder au net.

1. Avec MASQUERADE
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o $IfaceNet -j MASQUERADE
// alors biensur cela fonctionne mais
//moi je voudrai mettre la police de forward a drop, pour plus de sécurité.

2. Peu etre DNAT/SNAT


3. Peu etre NETMAP


Une question sur la chaine FORWARD, Es que a elle seul cette chaine permet de faire de la translation?

Par exemple dans mon script je fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s $IpLan -d $IpNet -p tcp --dport 80 -m state --state NEW -j ACCEPT

mais cela ne fonctionne pas pkoi?


Ps: merci pour ton site mais j'ai besoin de précision

[gorgonite]

tu veux un exemple...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#! /bin/sh
 
IPTABLES="iptables"
 
ZONE_INTERNE=192.168.0.0/255.255.255.0
ETH0=192.168.1.100
ETH1=192.168.0.1
DNS_FAI=192.168.1.1
 
# purger iptables
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
 
# Politique par defaut : les paquets sont refuses
#$IPTABLES -P INPUT DROP
#$IPTABLES -P OUTPUT DROP
#$IPTABLES -P FORWARD DROP
 
# On accepte les paquets reconnus par le moteur d'etat
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# proxy web transparent
#$IPTABLES -t nat -A PREROUTING  -s ${ZONE_INTERNE} -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t nat -A PREROUTING  -s ${ZONE_INTERNE} -p tcp -m tcp --dport 80 -j DNAT --to-destination ${ETH1}:3128
#$IPTABLES -A INPUT -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024: --dport 80 -i eth1 -j ACCEPT
 
# SSH
$IPTABLES -A INPUT -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024: --dport 22 -i eth1 -j ACCEPT
 
# requete DNS
$IPTABLES -A FORWARD -m state --state NEW -p udp -s ${ZONE_INTERNE} --sport 1024: -d $DNS_FAI --dport 53 -i eth1 -o eth0 -j ACCEPT
$IPTABLES -A FORWARD -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024: -d $DNS_FAI --dport 53 -i eth1 -o eth0 -j ACCEPT
 
 
# requete en sortie
$IPTABLES -t nat -A POSTROUTING -s ${ZONE_INTERNE} -o eth0 -j SNAT --to $ETH0
 
# activer
echo 1 > /proc/sys/net/ipv4/ip_forward

[Spoutnik]

Citation:

Envoyé par kippix

je voudrai deja savoir qu'es qui est nécessaire pour faire de la translation d'ip
Alors je sait qu'il y'a la cible masquerade

mais es la seule?? je pense a SNAT/DNAT, NETMAP, FORWARD

Ce sont des choses différentes.
SNAT /DNAT change respectivement les adresses sources et destinations des paquets, mais ne font en aucuns cas la translation d'adresses (pas possible de faire le chemin "inverse" pour la réponse).
Masquerade met en "mémoire" l'adresse interne d'un paquet (réseau local) qui va vers internet (réseau publique), transforme l'adresse locale en adresse publique pour que le paquet puisse aller sur internet, puis fait l'opération inverse lorsque la réponse arrive.

Les autres, je connais pas.

Citation:

Envoyé par kippix

1. Avec MASQUERADE
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o $IfaceNet -j MASQUERADE
// alors biensur cela fonctionne mais
//moi je voudrai mettre la police de forward a drop, pour plus de sécurité.

Pour plus de sécurité ? Tu veux dire pour ne pas avoir ton réseau local ouvert à tous vents??? Si c'est ta config actuelle, débranche ton cable en attendant de comprendre le fonctionnement de iptables Parceque la, c'est même plus du gateau de venir fouiner sur ton réseau

Citation:

Envoyé par kippix

2. Peu etre DNAT/SNAT

Oublie, la DNAT est utilisée courament dans le cas de port fowarding, mais tu n'en est pas là. La SNAT, est utilisée dans des cas très spécifique (DMZ en particulier), oublie pour l'instant.

Citation:

Envoyé par kippix

3. Peu etre NETMAP

connais pas

Citation:

Envoyé par kippix

Une question sur la chaine FORWARD, Es que a elle seul cette chaine permet de faire de la translation?

Non! pas du tt, FORWARD ne fait absolument aucune translation !
FORWARD = autoriser les paquets à passer entre 2 interfaces réseau, point!
La translation, c'est la chaine masquerade!

Citation:

Envoyé par kippix

Par exemple dans mon script je fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mais cela ne fonctionne pas pkoi?

Parceque :
1) FORWARD = passage entre 2 interfaces, mais pas vers la machine qui héberge le script => j'espère que tu fais tes tests d'une machine de ton réseau interne, sinon, tu peux tjs attendre
(Sauf si les IN/OUTPUT sont à ACCEPT)
=> pq ? parceque le spaquets qui passe par la chaine FORWARD ne passe pas par les chaines IN/OUTPUT et ne sont pas accessible (grosso modo) à la machine 'passerelle'.

2) MASQUERADE ? => necessaire de la mettre si tu veux une translation!


gorgonite => va vraiment falloir que je trouve le temps pour le finaliser cet article

[kippix]

Citation:

Non! pas du tt, FORWARD ne fait absolument aucune translation !
FORWARD = autoriser les paquets à passer entre 2 interfaces réseau, point!
La translation, c'est la chaine masquerade!

Ok Merci j'ai compris pour ca

Citation:

Parceque :
1) FORWARD = passage entre 2 interfaces, mais pas vers la machine qui héberge le script => j'espère que tu fais tes tests d'une machine de ton réseau interne, sinon, tu peux tjs attendre
(Sauf si les IN/OUTPUT sont à ACCEPT)
=> pq ? parceque le spaquets qui passe par la chaine FORWARD ne passe pas par les chaines IN/OUTPUT et ne sont pas accessible (grosso modo) à la machine 'passerelle'.

Non tkt j'effectue les test dans les regle de l'art

Citation:

2) MASQUERADE ? => necessaire de la mettre si tu veux une translation!

oui mais le SNAT me le fait bien la

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
iptables -P FORWARD DROP
 
iptables -A FORWARD -m state --state ESTABLISED, RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -s IpLan -p udp - d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT
iptables -A FORWARD -m state --state NEW -s IpLan -p tcp - d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT
iptables -A FORWARD -m state --state NEW -s IpLan -p tcp --dport 80 -i $IfaceLan -o $IfaceNet -j ACCEPT
 
//et donc ma translation
 
iptables -t nat -A POSTROUTING -s $IpLan -o $IfaceNet -j SNAT --to INetIp

Avec ce script mon http fonctionne :p
Donc si j'ai bien compris, SNAT fait comme masquerade ici et Forward m'assure la concordance entre mon réseau lan ($IpLan) et mon interface Net ($IfaceNet)

Dans mes règle de forward par exemple la:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -m state --state NEW -s IpLan -p tcp - d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT

on assure plus de sécurité en indiquant $IpLan et $IfaceLan. ce qui permet si j'ai bien compris d'empêcher tous litige.

rédit: Au fait merci pour votre aide

[Spoutnik]

Citation:

Envoyé par kippix

Avec ce script mon http fonctionne :p

Je m'avance peut être un peu, mais je dirait coup de bol et passerelle qui risque d'être gruyère

Citation:

Envoyé par kippix

Donc si j'ai bien compris, SNAT fait comme masquerade ici et Forward m'assure la concordance entre mon réseau lan ($IpLan) et mon interface Net ($IfaceNet)

A tout hasard, tes tests de connexion HTTP, tu les ferais pas à partir de la passerelle ?

Citation:

Envoyé par kippix

Dans mes règle de forward par exemple la:

iptables -A FORWARD -m state --state NEW -s IpLan -p tcp - d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT

on assure plus de sécurité en indiquant $IpLan et $IfaceLan. ce qui permet si j'ai bien compris d'empêcher tous litige.

oui et non, L'ip c'est facile à usurper. Utilise -i et -o et /ou --mac-source pour filter les requets via les adresses mac. C'est pas infaillible, mùais ca corse le jeu

[kippix]

AHH ouaii j'ai compris pour le SNAT et MASQUERADE

En fait, dans ma configuration SNAT a besoin de FORWARD pour fonctionner. je veu dire a eu deux il font de la translation, snat sert juste a réecrire la source du paquet et forward fait la translation ^^

[kippix]

non comme je le disait je fait ca dans les règle de l'art, j'ai une machine pour faire les test

et donc celle qui test la traversé de la passerelle ce trouve dans mon LAN

A vrai dire j'ai des machines de chaque coté de la passerelle

[kippix]

Citation:

Envoyé par Spoutnik

oui et non, L'ip c'est facile à usurper. Utilise -i et -o et /ou --mac-source pour filter les requets via les adresses mac. C'est pas infaillible, mùais ca corse le jeu

ouai je vois bien tkt, de tt facon vu que [--mac-source] fonctione avec toute les commandes j'ai renseignerai tous a la fin une fois que mon script fonctionnera

re mon script

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
 
#!/bin/bash
 
echo -e "--=[ \033[40m\033[1;31m Initialisation des variables \033[0m ]=--"
 
IfaceDmz="eth2"
IfaceLan="eth1"
IfaceNet="eth0"
 
ILanIp="172.0.23.254"
IDmzIp="172.0.22.254"
INetIp="192.168.1.162"
 
IpLan="172.0.23.0/24"
IpDmz="172.0.22.0"
IpNet="192.168.1.0/24"
 
IpServWeb=""
IpServFichier="" 
IpDns="192.168.1.1"
 
echo -e "--=[ \033[40m\033[1;31m Supression de toutes les regles existantes \033[0m ]=--"
 
iptables -F 
iptables -X
iptables -Z 
iptables -t nat -F 
iptables -t nat -Z
iptables -t nat -X 
iptables -t mangle -Z
iptables -t mangle -F 
iptables -t mangle -X 
 
echo -e "--=[ \033[40m\033[1;31m Initialisation de la police par defaut \033[0m ]=-"
 
iptables -P INPUT DROP
iptables -P OUTPUT DROP 
iptables -P FORWARD DROP
 
 
echo -e "--=[ \033[40m\033[1;31m déactivation du FORWARD \033[0m ]=-"
 
echo 0 > /proc/sys/net/ipv4/ip_forward
 
echo -e "--=[ \033[40m\033[1;31m Activation de rp_filters \033[0m ]=-"
 
#if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
#    for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
#       echo 1 > $f
#       done
#if
 
echo -e "--=[ \033[40m\033[1;31m Autorisation de l'ICMP sur eth1 et lo \033[0m ]=-"
 
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i $IfaceLan -p icmp -j ACCEPT
iptables -A OUTPUT -o $IfaceLan -p icmp -j ACCEPT
 
echo -e "--=[ \033[40m\033[1;31m FORWARD entre Eth0 et Eth1 \033[0m ]=-"
 
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
 
iptables -A FORWARD -m state --state NEW -s $IpLan -p udp -d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT
iptables -A FORWARD -m state --state NEW -s $IpLan -p tcp -d $IpDns --dport 53 -i $IfaceLan -o $IfaceNet -j ACCEPT
 
iptables -A FORWARD -m state --state NEW -s $IpLan -p tcp --dport 80 -i $IfaceLan -o $IfaceNet -j ACCEPT
 
echo -e "--=[ \033[40m\033[1;31m NAT entre Eth0 et Eth1 \033[0m ]=-"
 
iptables -t nat -A POSTROUTING -s $IpLan -o $IfaceNet -j SNAT --to $INetIp
 
echo -e "--=[ \033[40m\033[1;31m Activation du FORWARD \033[0m ]=-"
 
echo 1 > /proc/sys/net/ipv4/ip_forward
 
echo -e "--=[ \033[40m\033[1;32m Verif Generale \033[0m ]=--"
iptables -L
echo -e "--=[ \033[40m\033[1;32m Verif Nat \033[0m ]=--"
iptables -t nat -L
echo -e "--=[ \033[40m\033[1;32m Verif Mangle \033[0m ]=--"
iptables -t mangle -L

Biensur il manque encore beaucoup de choses, il faut que je fasse passer encore le ftp, smtp etc...
mais sinon niveau sécu c bien non?
je ve dire je drop tous donc voila... bon il faut que j'active l'antispoofing et surment d'autre truc utile que nous propose le noyau (2.6.15 debian sarge)

[kippix]

re

Bon alors la y'a un truc que je pige pas :

mon firewall n'a pas bouger depuis hier soir (le net fonctionnait) avec mon script ci-dessus.

la j'arrive ce matin le net marche plus !! je reboot donc ma machine (win2000 de mon réseau Lan) ca refonctionne sans toucher au firewall. mais au bout de 5 min de surf... bam... plus rien. je reboot donc mon win 2000, tjs rien.
Je déside donc de remettre met regle de firewalling en masquerade

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
iptables -P FORWARD -j ACCEPT 
iptables -t nat -A POSTROUTING -o $IfaceNet -j MASQUERADE

je peu donc acceder au net, nickel

Ensuite je load mon script du post ci-dessus, et la sa refonctionne pendant 5 min .... puis bam plus rien de nouveau

Chercher l'erreur

[kippix]

Ok j'ai trouvé la boulette

j'ai voulu jouer a l'apprenti 'tables et donc au lieu de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -m state --state NEW -s $IpLan -p tcp --dport 80 -i $IfaceLan -o $IfaceNet -j ACCEPT

j'ai fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -A FORWARD -m -state --state NEW -i $IfaceLan -s $IpLan -o $IfaceNet -d $IpNet -p tcp --dport 80 -j ACCEPT

Pourtant iptables me revoyai pas d'erreur bizard non ?

Sinon, dans ta requete gorgonite kel est l'interet de mettre --sport 1024 ?

Citation:

#$IPTABLES -A INPUT -m state --state NEW -p tcp -s ${ZONE_INTERNE} --sport 1024: --dport 80 -i eth1 -j ACCEPT

[gorgonite]

Citation:

Envoyé par kippix

Sinon, dans ta requete gorgonite kel est l'interet de mettre --sport 1024 ?

attention pas --sport 1024 mais --sport 1024:


cela permet de le n'autoriser que pour les ports supérieurs ou égaux à 1024



ps: je passe mon temps à éditer tes posts...