Bonjour à tous,
J’aurai besoin de conseils sur la configuration d’une passerelle / firewall tournant sous Linux.
Sur cette machine, j’utilise Shorewall pour configurer iptables.
J’ai réalisé un petit schéma pour essayer d’expliquer au mieux ma configuration (voir fichier pdf ci-joint).
NB : eth1, la patte VPN et la patte Internet sont sur le même équipement réseau. Le firewall sert de passerelle entre le site1 et le site 2, site 1 et Internet.
NB1 : Le VPN est protégé de l’extérieur (géré par un opérateur).
Cas 1 : Je lance un ping depuis un poste du site 1 vers Internet, cela fonctionne parfaitement (deux zones différentes sur le firewall : local et internet).
Cas 2 : Je lance un ping vers Internet mais aucune réponse (delai d’attente de la demande dépassé) : même zone sur le firewall (Internet).
J’ai donc continué les recherches et j’ai vu dans les logs du firewall :
FORWARD:DROP:IN=eth1 OUT=eth1 SRC=192.168.XXX.YYY DST=AAA.BBB.CCC.DDD LEN=60 TOS=0x00 PREC=0x00 TTL=124 ID=2962 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=30467
Pour chaque demande de ping, j’ai cette « erreur » (AAA.BBB.CCC.DDD : adresse publique que j’essaye de pinger).
J’ai lu sur Internet que pour ce type de problème il faut passer l’interface en routeback (justifié dans mon cas ? même interface en entrée / sortie : eth1).
J’ai testé en activant le routeback sur eth1: plus de « forward :drop » dans les logs du firewall…
Par contre, le résultat est inchangé (pas de réponse) !
Pour comprendre ce qui se passe, j’ai ensuite utilisé tcpdump :
Je vois bien les demandes de ping arriver de l’adresse du poste sur le VPN
La réponse du ping revient bien à l’adresse d’eth1
Par contre ensuite rien… Je ne vois pas ce que devient ma demande !
J’ai plusieurs options lorsque je veux créer une règle dans le firewall :
Zone source : local, Internet, firewall
Zone destination : local, Internet, firewall
Dans le cas eth1 vers eth1 que faut t-il utiliser selon vous ? net=>firewall ?
Avez-vous des pistes sur la configuration du firewall ? Est-ce que cela provient du fait d’être sur la même interface (eth1 vers eth1) ?
J’avoue qu’un peu de lumière serait vraiment la bienvenue.
Merci d’avance à tous.
Cordialement,
Sébastien
Partager