Discussion :

[athina]

Bonsoir tous le monde
Je ss entrain d effectuer un stage je vais mettre en œuvre un parfeu sous ubuntu avec iptables mon reseau est fait de 3 vlan :10.0.0.0 ; 192.168.1.0 ; 172.16.20.0 mon prob est le suivant
j arrivait pas a pinger d un machine 192.186.1.20 a la machine 172.16.20.X et on arrive pas a pinger sur moi depuis ce réseaux aussi
Alord j ai j ai ajouter une route dans ma machine route add gw 192.168.1.254(c l interface avec qui je ss connecté a la machine parfeu) alors ça a pinger sur tout le réseaux 172.16.20.0 mais on arrive tjr pas a pinger sur moi depuis ce réseaux en plus mon encadrant m a dis que c est illogique ce que je viens de faire alors si vous avez une idée sur la solution aidez moi
mon éme prob est sur le script de iptables qui marche pas je sais pas est ce que c est lui la source du probleme du ping ou bien c est l inverse surtout le nat et le forward

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
 
#!/bin/sh
#
# Script de démarrage qui lance l'interface réseau internet,
# met en place un firewall basique et un partage de connexion
#
# Inspiré du script de Mjules_at_ifrance.com
#
 
start() {
# init du la périphérique internet (ici derriere un modem ADSL ethernet, DHCP client)
 
/sbin/ifup eth0
 
# Dans cette partie, on met en place le firewall
#vidage des chaines
iptables -F
#destruction des chaines personnelles
iptables -X
 
#stratégies par défaut
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
#init des tables NAT et MANGLE (pas forcément nécessaire)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
 
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
 
# activation du forwarding dans le noyau
# mise en place du partage de connexion sur le réseau local
 
echo 1 >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
 
 
 
 
# Acceptation de toutes les connexions en local (un process avec l'autre)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
 
 
# partage de connection
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 192.168.1.0/24 -d 172.16.20.19  -m state --state ! INVALID  -j ACCEPT
iptables -t filter -A FORWARD -i eth2 -o eth0 -s 172.16.20.19 -d 192.168.1.0/24  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0  -s 192.168.1.0/24 -j MASQUERADE
 
 
# refuser l'accé  au GLPI
#iptables -A FORWARD -s 192.168.1.55 -d 192.168.1.254 -p tcp --dport 8080 -j DROP
#iptables -t nat -A PREROUTING -s 192.168.1.55 --dport 8080 -j DNAT --to-destination 192.168.1.254:8080 
 
# PORT FORWARDING:
# attention : on ne peut <del>malheureusement</del> heureusement pas mettre un nom de machine en destination, il faut mettre l'adresse IP.
 # exemple : on veut qu'un serveur HTTP installé sur une machine du réseau local soit visible depuis l'extérieur.
iptables -A FORWARD -p tcp --sport 80 -i eth0  -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 172.16.20.19 --sport 80   -j SNAT --to 192.168.1.254
iptables -A FORWARD -p tcp --dport 80 -d 192.168.1.50 -j ACCEPT
 
 
 
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.50:80
#iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
 
 
 
#création d'une nouvelle règle
iptables -N MAregle
 
#définition de la règle : accepter les nouvelles connexions ne venant pas de l'interface internet
# et accepter toutes les connexions établies et reliées (ex: une demande de page HTML provoque l'ouverture
# d'une connexion reliée pour acheminer cette page vers l'ordinateur)
 
iptables -A MAregle -m state --state NEW -i! eth0 -j ACCEPT
iptables -A MAregle -m state --state ESTABLISHED,RELATED -j ACCEPT
 
#application de la règle au partage de connexion
iptables -A INPUT -j MAregle
iptables -A FORWARD -j MAregle
 
 
 
}
 
stop() {
        echo 0 >/proc/sys/net/ipv4/ip_forward
        ifdown eth0
}
 
case "$1" in
 start)
        start
        ;;
 
stop)
        stop
        ;;
restart)
        stop , start
        ;;
*)
        echo "Usage $0 {start|stop|restart}"
        exit 1
esac
 
exit 0

Aider moi svp et merci

[alband85]

Dans ton script, je ne vois aucune référence à icmp. Ca serait pas mal pourtant pour autoriser le ping...

Sinon, des règles en sortie inconditionnelle du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -P OUTPUT ACCEPT

ça me stresse un peu. Perso, je n'aimerais pas que n'importe qui puisse faire sortir n'importe quoi de ma machine.

[athina]

Dans ton script, je ne vois aucune référence à icmp. Ca serait pas mal pourtant pour autoriser le ping...

Sinon, des règles en sortie inconditionnelle du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -P OUTPUT ACCEPT

ça me stresse un peu. Perso, je n'aimerais pas que n'importe qui puisse faire sortir n'importe quoi de ma machine.

en effet j ai ajouté la règle pour autoriser le ping

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
iptables -A  INPUT - p icmp -j ACCEPT

et maintenant j arrive a pinger sur les 3 reseaux mais le reseaux 10.0.0.0 n arrive tjr pas a pinger sur moi et je comprend pas d ou vient le problème
et merci pour ton aide

[MarcG]

une route "static" doit être ajoutée sur les 2 réseaux jointes.
Tu dis avoir ajouté une route sur ta machine, l'a tu renseignée sur l'autre ("route allé" ok, mais route "retour" )?

A ------> B ------->C
sur a add route vers C
pour le retour sur C
Add route vers A