Discussion :

[Roln1k]

Bonjour, voici ma iptables comme je l'ai configuré, des que j'execute ce fichier, mes postes n'arrivent plus à acceder au site web hebergé sur le serveur apache. C'est la premiere fois que j'en configure une et vu que tout fonctionne bien tant qu'elle n'est pas executé j'en conclu que c est lié à elle. Pourtant lorsqu'un poste cherche a acceder a la page web, il n'y a pas d'erreurs indiquant un refus, le navigateur reste bloqué en attendant une réponse du serveur donc voila je suis un peu perdu.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
#!/bin/bash
# For more info see : https://wiki.debian.org/iptables
#*filter
 
#on definie les polices
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP 
iptables -P FORWARD DROP
 
#on filtre les requetes exterieures en autorisant le http, https, ftp, ldap et ssh
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 20 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 21 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 389 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 636 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p tcp --dport 22 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 10.67.126.103/16 -p udp --dport 3286 -j ACCEPT
 
#les utilisateurs au sein de l'entrepris peuvent se servir de tout les ports
iptables -t filter -A INPUT -i eth0 -s 10.67.0.0/16 -d 0.0.0.0/0 -j ACCEPT
 
#si la connexion est etablie, les ports ne sont pas filtres
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Voici donc la liste des regles. C'est dans le cadre d'un projet scolaire ainsi j'ai mis les regles principale (je n'ai pas pris en compte la messagerie, la réponse au ping etc... comme j ai pu le lire sur d'autre tutoriels). Le but etant d'autoriser la connexion au ldap et serveur web et ftp.

Comme dit je suis encore novice dans ce domaine et serais ravie d'entendre vos conseils

[Marc3001]

2 remarques :
- Si 10.67.126.103 est une IP d'un équipement (ton serveur je présume) et non un sous-réseau, ne mets pas de masque (/16)
- Si tu ne veux pas filtrer sur les IP sources sur les requêtes de ports, pourquoi ajouter le paramètre -s avec une sous-réseau à 0? Autant ne pas du tout filtrer et retirer ce paramètre.

[Roln1k]

Oui pardon j'ai oublié de préciser, il s'agit bien de l'ip du serveur.
Et pour la ligne avec la source,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iptables -t filter -A INPUT -i eth0 -s 10.67.0.0/16 -d 0.0.0.0/0 -j ACCEPT

la policy définie (iptables -P OUTPUT ACCEPT) autorise alors les requêtes du sous-reseau vers l'extérieur sans les filtrer ?

[Marc3001]

En retirant le masque qui n'a rien à faire là et les -d 0.0.0.0/0 et -s 0.0.0.0/0, tu as le même comportement ?

Pour la ligne avec la source, laisse le masque vu que c'est l'IP du réseau que tu mets par contre vire la destination.

Enfin la policy (iptables -P OUTPUT ACCEPT) autorise toutes les connexions sortant de ton serveur (OUTPUT) à passer (ACCEPT).

[Roln1k]

je vais tester ça demain (la matériel étant au lycée)