configuration d'un pare feu sous ubuntu avec iptables

[kawtar chatoui]

salut
Je suis on stage et je configure un pare feu sous ubuntu avec iptables
Mon problème c est que j ai essayé d autoriser l accée ;de l’extérieur(172.16.20.19 :80) ;a un serveur apache d’addresse 192.168.1.55 :22 avec les commandes iptables mais sa marche pas
Sachant que notre pare feu a deux interface eth0 pour le réseau et eth2 connecter au serveurs
Aidez moi svp a trouver la bonne regle iptables pour faire ce travail

voici

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
 
#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet,
# met en place un firewall basique et un partage de connexion
#
# Inspiré du script de Mjules_at_ifrance.com
#
 
start() {
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
 
/sbin/ifup eth0
 
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
 
#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
 
# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local
 
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
 
 
 
 
# Acceptation de toutes les connexions en local (un process avec l'autre)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
 
# partage de connection
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.1.0/24 -d 172.16.20.19  -m state --state ! INVALID  -j ACCEPT
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 172.16.20.19 -d 192.168.1.0/24  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0  -s 192.168.1.0/24 -j MASQUERADE
 
 
# refuser l'accé  au GLPI
#iptables -A FORWARD -s 192.168.1.55 -d 192.168.1.254 -p tcp --dport 8080 -j DROP
#iptables -t nat -A PREROUTING -s 192.168.1.55 --dport 8080 -j DNAT --to-destination 192.168.1.254:8080 
 
# PORT FORWARDING:
# attention : on ne peut <del>malheureusement</del> heureusement pas mettre un nom de machine en destination, il faut mettre l'adresse IP.
 # exemple : on veut qu'un serveur HTTP installé sur une machine du réseau local soit visible depuis l'extérieur.
iptables -A FORWARD -p tcp --sport 80 -i eth0  -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 172.16.20.19 --sport 80   -j SNAT --to 192.168.1.254
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.50 -j ACCEPT
 
 
 
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50:80
#iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
 
 
 
#création d'une nouvelle règle
iptables -N MAregle
 
#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)
 
iptables -A MAregle -m state --state NEW -i! eth0 -j ACCEPT
iptables -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
 
 
 
}
 
stop() {
        echo 0 >/proc/sys/net/ipv4/ip_forward
        ifdown eth0
}
 
case "$1" in
 start)
        start
        ;;
 
stop)
        stop
        ;;
restart)
        stop , start
        ;;
*)
        echo "Usage $0 {start|stop|restart}"
        exit 1
esac
 
exit 0

[f-k-z]

Yop,

Tu utilises le principe du bridge non ? T'es tu documenté sur ce point là ?
Sinon pourrais-tu nous fournir un graphe simplifier de ton réseau ? car n'aurais tu pas un éléement qui pourrais géner (Routeur ou autre ).
Arrives tu a y accéder en coupant iptable ?
cordialement,

Fkz

//edit rajout d'un lien pour faire un bridge:
http://www.brunovalentin.com/linux/b...irewall-linux/

[kawtar chatoui]

nn je n'utilise pas le bridge mais s'implement mon pare feu est une machine à 4 interfaces réseaux et elle est utilisée comme passerelle sous linux est administrer par le netfilter/iptables

[kawtar chatoui]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
 
 
                           Internet 10.0.0.0/8
                             |
                             |
172.16.20.19:80              |eth0=10.0.0.25
DMZ<====================>Pare feu<=======================>
          eth3=172.16.20.254  |              eth1=192.168.1.254
                              |
                              |
                           les pc de l'administration

voila le schéma de mon réseau et je veux une/des regles commplètes pour accéder au serveur Apache sous l'addresse 172.16.20.19:80 de puis une machine de l'internet(notre internet est constitué par l'ensembles des machines des agents de saisie)

[cheval_boiteux]

Et avec un tunnel SSH, c'est pas possible de rediriger le port 22 sur le port 80 ?

[kawtar chatoui]

Citation:

Envoyé par cheval_boiteux

Et avec un tunnel SSH, c'est pas possible de rediriger le port 22 sur le port 80 ?

mais j ai le meme prob avec le ssh et si j'arrive à accéder au serveur ssh je peu faire la meme regle pour le serveur http en modifiant seulement le n de port