Discussion :

[erwann56]

Bonjour à tous,

J'ai un problème avec iptables concernant deux choses:

- le premier, je souhaiterais renvoyer tout flux http vers un serveur dans la dmz. Mais ca ne fonctionne pas.
- le second, comme j'ai deux lan derrière le firewall, je voudrais filtrer les users qui se connectent via openvpn (compte créés sous /ccd)
Pour les users en 10.8.10.0/24, accès à tous les réseaux 192.168.0.0/16 et pour les users en 10.8.20.0/24, que le réseau 192.168.10.0/24. Et ca aussi ne fonctionne pas.

Voici la conf firewall :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
##Set up /etc/init.d/firewall
case "$1" in
'start')
 
# Pas d'IPV6
sysctl -w net.ipv6.conf.all.disable_ipv6=1
sysctl -w net.ipv6.conf.default.disable_ipv6=1
 
# Forward
echo 1 > /proc/sys/net/ipv4/ip_forward
 
#Log en entrée
iptables -A INPUT -j LOG
 
#permettre à une connexion déjà ouverte de recevoir du trafic :
iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT
 
#Authoriser l'interface locale (loopback).
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A OUTPUT -o lo -j ACCEPT
echo "traffic sur l interface locale ok"
 
#Création d'une new user-defined chain pour pouvoir autoriser ET logger un flux avec le préfixe iptables
#iptables -N LOGACCEPT
#iptables -A LOGACCEPT -j LOG --log-prefix 'iptables:' -m limit --limit 2/min
#iptables -A LOGACCEPT -j ACCEPT
 
#Création d'une new user-defined chain pour pouvoir explicitement bloquer et logger un flux avec le préfixe iptables
#iptables -N LOGDROP
#iptables -A LOGDROP -j LOG --log-prefix 'iptables:' -m limit --limit 2/min
#iptables -A LOGDROP -j DROP
 
#Permettre le trafic entrant et sortant pour le port SSH
iptables -t filter -A INPUT -p tcp --dport 22185 -j ACCEPT
echo "ssh ok"
 
#openVpn
iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.8.20.0/24 -o eth0 -j MASQUERADE
iptables -A OUTPUT -o tun+ -j ACCEPT
echo "OpenVpn ok"
 
#Autoriser le ping en sortie
iptables -t filter -A OUTPUT -p icmp -j ACCEPT
echo "ping en sortie ok"
 
#Autoriser les requêtes DNS en sortie
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
echo "dns ok"
 
# DHCP
iptables -A OUTPUT -p udp --match multiport --dports 67,68 -j ACCEPT
echo "dhcp ok"
 
#Autoriser les requêtes NTP en sortie pour pouvoir se synchroniser ai niveau temps
iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT
echo "ntp ok"
 
#Autoriser tout le trafic en entrée depuis le réseau local qui commencera ici par une ip en 192.168
iptables -t filter -A INPUT -s 192.168.0.0/16 -j ACCEPT
echo "reseau local 192.168.0.0 ok"
 
# Filtrage selon utilisateur
iptables -t filter -A INPUT -s 10.8.20.0/24 -d 192.168.0.0/24 -j DROP
iptables -t filter -A INPUT -s 10.8.20.0/24 -d 192.168.10.0/24 -j ACCEPT
echo "rules lans ok"
 
# Http to DMZ
# Deal with responses from the internet
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Port Forwarding is enabled, so accept forwarded traffic
#iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.206 -j ACCEPT
#iptables -A FORWARD -p tcp -i eth0 --destination-port 443 --destination 192.168.0.206 -j ACCEPT
 
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.206:80
iptables -t nat -A PREROUTING -p tcp -m multiport --dport 443 -i eth0 -j DNAT --to-destination 192.168.0.206
echo prerouting
iptables -t nat -A POSTROUTING -d 192.168.0.206 -p tcp --dport 80 -j MASQUERADE
iptables -t nat -A POSTROUTING -d 192.168.0.206 -p tcp --dport 443 -j MASQUERADE
echo postrouting
echo "DMZ ok"
 
# Fermeture de tout le reste.
iptables -P INPUT DROP
echo "All is closed"

Je suis preneur de tout conseil et remarque.

Merci