IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Routage intervlan IPTABLES


Sujet :

Sécurité

  1. #1
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut Routage intervlan IPTABLES
    Bonjour,

    Dans le but de me perfectionner avec les règles iptables sous linux, je souhaiterai faire communiquer des vlan entre eux et en interdire la com avec certain.

    Je m'explique:

    Vlan 10 peut communiquer avec le vlan 20
    Vlan 20 peut communiquer avec le vlan 10.

    Vlan 30 ne peut pas communiquer avec le vlan 10 et 20.

    Adresse :
    Vlan 10 : 192.168.1.0/24
    Vlan 20 : 172.16.5.0/28
    vlan 30 : 10.98.4.0/25

    J'ai monté mes interfaces virtuelles sur ma machine physique (Xubuntu) avec le packet "Vlan".
    Sur mes machines clientes virtuelles (windows7) montés sous virtualbox, j'ai attribué à une machine client la carte virtuelle 10, une autre la carte virtuelle 20 et une derniere avec la carte virtuelle 30.

    Mon serveur virtuelle ubuntu qui fait office de firewall, héberge un serveur DHCP qui distribue des ip pour 2 pool (Vlan 10 et 30).
    Ce serveur possède les 3 cartes virtuelle (10,20,30)

    La policies du INPUT, OUTPUT et FORWARD est à "DROP".
    J'ai ajouté comme règles iptables, un accès SSH seulement possible depuis le vlan 20.
    J'ai autorisé ping en INPUT, OUTPUT et FORWARD.
    J'ai autorisé le forward_IPV4
    J'envisage la restriction des communication entres les vlans après avoir compris d'ou vient mon problème ci-dessous..


    Je suis contraint de désactivé le pare-feu sur mes machines clients pour qu'elle puisse se ping entre elles.

    Merci d'avance pour votre aide

  2. #2
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    Février 2005
    Messages
    2 854
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : Février 2005
    Messages : 2 854
    Points : 5 915
    Points
    5 915
    Par défaut
    Salut,


    Puisque le default policies est à drop.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     
    iptables -A INPUT --in-interface eth0.20 -p tcp --dport 22 -j ACCEPT 
    iptables -A FORWARD --in-interface eth0.10 --out-interface eth0.20 -j ACCEPT 
    iptables -A FORWARD --in-interface eth0.20 --out-interface eth0.10 -J ACCEPT
    Ceci devrait faire le travail

  3. #3
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Bonjour

    Merci pour votre réponse.

    Mais je peux toujours ping que si le pare-feu de mes machines client soit désactivé.
    Est-ce normal ?

    Ceci dit, ce n'est pas un gros problème. J’espérai juste pouvoir comprendre..

    Cordialement

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Finalement, je pense que le problème vient de windows.

    En tout cas merci beaucoup pour votre aide

  5. #5
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Je reviens au pas de course,

    J'aimerai qu'une seule IP du vlan 10 puisse accéder à toute les machines du vlan 20.
    (on lui autorise l'accès sur tout)

    Les autres IP du vlan 10 ne doivent pas pouvoir le faire.

    J'ai essayé différente règles, mais en vain..

    iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    iptables -A OUTPUT -p tcp -d 172.16.5.0/28 -j ACCEPT

  6. #6
    Expert confirmé
    Avatar de becket
    Profil pro
    Informaticien multitâches
    Inscrit en
    Février 2005
    Messages
    2 854
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Informaticien multitâches
    Secteur : Service public

    Informations forums :
    Inscription : Février 2005
    Messages : 2 854
    Points : 5 915
    Points
    5 915
    Par défaut
    Citation Envoyé par Iz-xY Voir le message
    Je reviens au pas de course,

    J'aimerai qu'une seule IP du vlan 10 puisse accéder à toute les machines du vlan 20.
    (on lui autorise l'accès sur tout)

    Les autres IP du vlan 10 ne doivent pas pouvoir le faire.

    J'ai essayé différente règles, mais en vain..

    iptables -A INPUT -p tcp -s 192.168.1.0/24 -j ACCEPT
    iptables -A OUTPUT -p tcp -d 172.16.5.0/28 -j ACCEPT

    Avec deux règles, tu dis deux choses :

    1 - Autorise le trafic tcp venant du réseau 192.168.1.0 / 24 ( 254 machines )
    2 - Autorise le trafic à destination du réseau 172.16.5.0 / 28

    Donc grosso-modo, tu autorises bien plus que une ip -> un réseau

    Ensuite, avec iptables, il faut prendre en compte l'ordre dans lequel les règles sont positionnées.

    Donc tu devrais avoir une règle comme ceci à rajouter

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    iptables -A FORWARD --in-interface eth0.10 --source 192.168.1.17/32 --out-interface eth0.20 -j ACCEPT

  7. #7
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Effectivement, j'ai mis l'adresse réseau dans ma question.
    C'était une erreur de ma part, sorry..

    Merci pour la réponse, j'essaye aujourd'hui !

    Je ferai un retour sur la solution.

  8. #8
    Futur Membre du Club
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Décembre 2017
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : Service public

    Informations forums :
    Inscription : Décembre 2017
    Messages : 8
    Points : 7
    Points
    7
    Par défaut
    Merci pour les solutions !!

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. routage intervlan switch enterasys C5
    Par golani dans le forum Hardware
    Réponses: 13
    Dernier message: 09/10/2012, 17h30
  2. Iptables: Problème de routage locale
    Par breizho dans le forum Sécurité
    Réponses: 12
    Dernier message: 26/04/2011, 19h12
  3. ipsec + openswan debian + routage iptables
    Par Tazman_FR dans le forum Sécurité
    Réponses: 1
    Dernier message: 16/04/2010, 20h14
  4. Routage avance iptables
    Par tuxout dans le forum Réseau
    Réponses: 3
    Dernier message: 21/02/2007, 00h30
  5. Routage par Iptables ignore les règles locales ?
    Par Anomaly dans le forum Réseau
    Réponses: 5
    Dernier message: 27/11/2005, 13h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo