Bonjour à tous,
J'ai un problème avec iptables concernant deux choses:
- le premier, je souhaiterais renvoyer tout flux http vers un serveur dans la dmz. Mais ca ne fonctionne pas.
- le second, comme j'ai deux lan derrière le firewall, je voudrais filtrer les users qui se connectent via openvpn (compte créés sous /ccd)
Pour les users en 10.8.10.0/24, accès à tous les réseaux 192.168.0.0/16 et pour les users en 10.8.20.0/24, que le réseau 192.168.10.0/24. Et ca aussi ne fonctionne pas.
Voici la conf firewall :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93 ##Set up /etc/init.d/firewall case "$1" in 'start') # Pas d'IPV6 sysctl -w net.ipv6.conf.all.disable_ipv6=1 sysctl -w net.ipv6.conf.default.disable_ipv6=1 # Forward echo 1 > /proc/sys/net/ipv4/ip_forward #Log en entrée iptables -A INPUT -j LOG #permettre à une connexion déjà ouverte de recevoir du trafic : iptables -t filter -A INPUT -m state --state ESTABLISHED -j ACCEPT #Authoriser l'interface locale (loopback). iptables -t filter -A INPUT -i lo -j ACCEPT iptables -t filter -A OUTPUT -o lo -j ACCEPT echo "traffic sur l interface locale ok" #Création d'une new user-defined chain pour pouvoir autoriser ET logger un flux avec le préfixe iptables #iptables -N LOGACCEPT #iptables -A LOGACCEPT -j LOG --log-prefix 'iptables:' -m limit --limit 2/min #iptables -A LOGACCEPT -j ACCEPT #Création d'une new user-defined chain pour pouvoir explicitement bloquer et logger un flux avec le préfixe iptables #iptables -N LOGDROP #iptables -A LOGDROP -j LOG --log-prefix 'iptables:' -m limit --limit 2/min #iptables -A LOGDROP -j DROP #Permettre le trafic entrant et sortant pour le port SSH iptables -t filter -A INPUT -p tcp --dport 22185 -j ACCEPT echo "ssh ok" #openVpn iptables -A INPUT -i eth0 -m state --state NEW -p tcp --dport 1194 -j ACCEPT iptables -A INPUT -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -j ACCEPT iptables -A FORWARD -i tun+ -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -o tun+ -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.8.10.0/24 -o eth0 -j MASQUERADE iptables -t nat -A POSTROUTING -s 10.8.20.0/24 -o eth0 -j MASQUERADE iptables -A OUTPUT -o tun+ -j ACCEPT echo "OpenVpn ok" #Autoriser le ping en sortie iptables -t filter -A OUTPUT -p icmp -j ACCEPT echo "ping en sortie ok" #Autoriser les requêtes DNS en sortie iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT echo "dns ok" # DHCP iptables -A OUTPUT -p udp --match multiport --dports 67,68 -j ACCEPT echo "dhcp ok" #Autoriser les requêtes NTP en sortie pour pouvoir se synchroniser ai niveau temps iptables -t filter -A OUTPUT -p udp --dport 123 -j ACCEPT echo "ntp ok" #Autoriser tout le trafic en entrée depuis le réseau local qui commencera ici par une ip en 192.168 iptables -t filter -A INPUT -s 192.168.0.0/16 -j ACCEPT echo "reseau local 192.168.0.0 ok" # Filtrage selon utilisateur iptables -t filter -A INPUT -s 10.8.20.0/24 -d 192.168.0.0/24 -j DROP iptables -t filter -A INPUT -s 10.8.20.0/24 -d 192.168.10.0/24 -j ACCEPT echo "rules lans ok" # Http to DMZ # Deal with responses from the internet iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Port Forwarding is enabled, so accept forwarded traffic #iptables -A FORWARD -p tcp -i eth0 --destination-port 80 --destination 192.168.0.206 -j ACCEPT #iptables -A FORWARD -p tcp -i eth0 --destination-port 443 --destination 192.168.0.206 -j ACCEPT iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80 -i eth0 -j DNAT --to-destination 192.168.0.206:80 iptables -t nat -A PREROUTING -p tcp -m multiport --dport 443 -i eth0 -j DNAT --to-destination 192.168.0.206 echo prerouting iptables -t nat -A POSTROUTING -d 192.168.0.206 -p tcp --dport 80 -j MASQUERADE iptables -t nat -A POSTROUTING -d 192.168.0.206 -p tcp --dport 443 -j MASQUERADE echo postrouting echo "DMZ ok" # Fermeture de tout le reste. iptables -P INPUT DROP echo "All is closed"
Je suis preneur de tout conseil et remarque.
Merci
Partager