Nous sommes actuellement le 14 Juil 2026, 19:33

Le fuseau horaire est UTC-5 heures [Heure d’été]




Publier un nouveau sujet Répondre au sujet  [ 9 message(s) ] 
Auteur Message
 Sujet du message: fonctionnement iptables
MessagePublié: 17 Fév 2007, 00:42 
Hors-ligne
Répond à tout!
Répond à tout!

Inscription : 10 Jan 2002, 14:09
Message(s) : 2386
Localisation : Verdun
Bonjours, j'ai lu pas mal toute la journée sur netfilter et iptables, et voila que je pensais avoir compris et que non le résultat est pas ce que je veux faire. ispconfig m'a donner une configuration avec plein d'entré en double et quasi incompréhensible.


Ceux que je veux faire :

1. bloquer _tout_ les ports sauf : ftp,ftp-data, http, https, imap2, imaps, pop3 pop3s.

2. Bloquer le port 24 au réseau 192.168.1.0 et l'ouvrir pour seulement le réseau 192.168.2.0

3. Rediriger le port RDP a un autre serveur sur le réseau, dison 192.168.1.60

4. Servir de gateway pour le réseau interne

(j'ai fait un flush de tout avant, ainsi qu'un flush du nat)
Je me pose les questions suivante apres quelque tentative non concluante.

Mon raisonnement : Un packet entre, il doit passer dans la chaine PREROUTING, INPUT, OUTPUT, FORWARD, POSTROUTING
Si il trouve une règle qui est pour lui, et si il est dropé - fini le pacquer cesse ca route. Sinon si ACCEPT, il passe dans la chaine suivante (est-ce qu'il continue dans la meme chaine pour voir si un autre règle s'applique?)

Selon la doc de iptables, lorsque un règle a un match elle est traiter par la règle. Alors, si mon INPUT commence par ACEPT all? comment ca ce peut qu'il y est des restriction?



1. j'essais ce qui suit :
iptables -A INPUT -p tcp --syn --destination-port ! 80 -j DROP

pour chacune de mes règles. Sauf que ca bloque mon gateway

et tout les config que je regarde, il commence toute par
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere

Est-ce que TOUT les packets ne sont pas accepter de cette facon?



A quoi sert exactement le MASQUERADE? Je pensais que c'était pour être un gateway, sauf que si je vide les règles au complet, ensuite met un -P ACCEPT pour INPUT, FORWARD et OUTPUT, le gateway fonctionne.
Voici mes essais, afin de mettre une restriction
Je veux limité le gateway a mon réseau (.0.0 pour tout le réseau) local :

Code :
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

(OUTPUT est ACCEPT par défault)
résultat, marche pas?
c'est exactement ce qu'il dise de faire dans mon manuel de certification LInux. grrrgg
Ma logique, en entrée il passe car tout le subnet a acces, et en forward il passe.
En passant, je n'ai pas deux interface, c'est pour apprendre, c'est pour ca que j'ai pas de


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 19 Fév 2007, 11:24 
Hors-ligne
Répond à tout!
Répond à tout!

Inscription : 10 Jan 2002, 14:09
Message(s) : 2386
Localisation : Verdun
bon, finallement je pense avoir compris. j'ai installer une 2eme carte réseau pour faire un peux plus réel.

Seul chose bizarre, c'Est que si je spécifie une carte (genre eth0 ou eth1), bien ca fonctionne pour une carte mais pas l'autre... petit détail.


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 19 Fév 2007, 15:41 
Hors-ligne
Régulier
Régulier

Inscription : 14 Jan 2002, 22:46
Message(s) : 306
Salut,

En supposant que tu drop tout au début:

1- Semblable à #2 ... le ftp est un peu spéciale, il utilise 2 port, un pour initialiser la communication et un pour le data...
2-iptables -A INPUT -p tcp --dport 24 -s 192.168.2.0/255.255.255.0 -j ACCEPT
iptables -A OUTPUT-p tcp -sport 24 -d 192.168.2.0/255.255.255.0 -j ACCEPT
3-iptables -A PREROUTING -t nat -p tcp --dport RDP-PORT -j DNAT --to 192.168.1.60
4- echo 1 >/proc/sys/net/ipv4/ip_forward

#2 tu acceptes en input ce qui s'en va vers le port 24 et qui vient du sous-réseau 1921.68.2.0 + règle inverse
Si je me trompe pas, les étapes 3 et 4 ne seront pas régie par les régles input et output...
#3 tout ce qui arrive sur le port rdp sera rediriger vers lip 192.168.1.60
#4- Dis au OS de router entre 2 cartes réseau... il faut que tes tables de routage soient bonne (avec la commande "route")

Alex


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 19 Fév 2007, 17:21 
Hors-ligne
Répond à tout!
Répond à tout!

Inscription : 10 Jan 2002, 14:09
Message(s) : 2386
Localisation : Verdun
voici ma config actuel :
Code :
*filter
:INPUT DROP [14:808]
:FORWARD DROP [1895:96109]
:OUTPUT ACCEPT [29670:39681866]
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 24 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 993 -j ACCEPT
-A INPUT -s 192.168.1.0/255.255.255.0 -p tcp -m tcp --dport 995 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j DROP
-A FORWARD -o eth0 -j ACCEPT
COMMIT


avec que je comprend un packet fait:

Input -> FORWARD
ou
Input -> OUTPUT

alors dans mon cas du routage, mon packet fait quoi exactement?

eth1 = lan
eth0 = wan

eth1 INPUT -> eth1 FORWARD ?

est dans ma config, c'Est quoi qui authorise le packet d'entré initiallement dans la chain INPUT, car il me semble qu'il devrait être drop?

Est-il dangereux que quelqu'un puisse utilisé mon réseau comme gateway?

Merci


Haut
 Profil  
Répondre en citant  
 Sujet du message: ?
MessagePublié: 20 Fév 2007, 01:24 
Hors-ligne
Régulier
Régulier

Inscription : 14 Jan 2002, 22:46
Message(s) : 306
Tu veux faire quoi exactement?

Est ce que ta machine linux sert seulement de router ou bien elle fait autre chose?

Ton eth0 as t'elle une adresse publique genre 24.201.245.12 ?

Le seul danger que je vois est que tu ne spécifie pas d'interface, alors quelqu'un pourrais se faire passer pour une adresse 192.168 sur l'interface eth0 et il aurait théoriquement accès ... mais moi je ne sais pas comment faire ca.

Je ne comprend pas vraiment ce que tu veux faire avec cette règle:

-A INPUT -m state --state RELATED,ESTABLISHED -j DROP ...

tu bloque les state "related et established" ... si tu héberges des services sur ta machine, cette règle t'empêchera d'y accéder d'après moi...

Alex


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 20 Fév 2007, 22:55 
Hors-ligne
Répond à tout!
Répond à tout!

Inscription : 10 Jan 2002, 14:09
Message(s) : 2386
Localisation : Verdun
J'ai changé le DROP du established et related car s'était pour un test. Car initiallement j'avias faite :
iptables -A FORWARD -i eth1 -j ACCEPT
Car je croyais que je devais dire que tout ce qui rentre de ma eth1 a le droit de sortie, mais ca l'air que c'est pas comme ca que ca marche. alors j'ai changé pour
iptables -A FORWARD -o eth0 -j ACCEPT

Sauf que de cette facon, j'Avais peur que quelqu'un ce connecte de l'internet et utilise mon serveur comme un gateway pour caché son origine (surtout que iptables fait pas de log)

Pourquoi je ne peux pas faire
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
?
Car dans ma logique de compréhension actuel ca voudrait dire :
accept tout ce que provient de eth1 et qui passe par eth0

La machine fait un serveur mail, www et sert de gateway interne

Que voulez vous dire par spécifiez l'interface?
Car initiallement j'Avais faite ceci pour ssh dans le but de limité l'acces au eth1 seulement

iptables -A INPUT -i eth1 --destination-port 24 -j ACCEPT
sauf que les deux interface acceptaient les connexions.
Quand j'essais
iptables -A INPUT -i eth0 --destination-port 24 -j ACCEPT
alors la, ni eth0 ni eth1 recevaient de connexion sur le port 24
C'est pour ca que j'ai changé pour spécifier les adresses du lan.


Haut
 Profil  
Répondre en citant  
 Sujet du message: ..
MessagePublié: 21 Fév 2007, 00:46 
Hors-ligne
Régulier
Régulier

Inscription : 14 Jan 2002, 22:46
Message(s) : 306
Tu peux faire des logs avec iptables

Tu te fait une nouvelle règle ex:

# chaine 'log_drop' pour LOG de tout paquet DROPpé que l'on veut logué
iptables -N log_drop
iptables -A log_drop -j LOG --log-prefix '[IpTables DROP]'
iptables -A log_drop -j DROP

# chaine 'log_accept' pour LOG de tout paquet ACCEPTé que l'on veut logué
iptables -N log_accept
iptables -A log_accept -j LOG --log-prefix '[IpTables ACCEPT]'
iptables -A log_accept -j ACCEPT

ca va inscrire dans /var/log/message je pense...

Citer:
Que voulez vous dire par spécifiez l'interface?

il faut spécifié eth0 ou eth1 en combinaison avec les ip source ou destination selon le cas.

Qu'est ce que tu fais avec le port 24?


Haut
 Profil  
Répondre en citant  
 Sujet du message:
MessagePublié: 22 Fév 2007, 01:27 
Hors-ligne
Répond à tout!
Répond à tout!

Inscription : 10 Jan 2002, 14:09
Message(s) : 2386
Localisation : Verdun
le 24 c'est pour mon ssh
pourquoi lorsque je fait
-A INPUT -i eth1 -p tcp -m tcp --dport 24 -j ACCEPT
je peux toujours me connecter via le eth0? (INPUT est a DROP)

Finallement j'ai enlevé le routeur du chemin et j'ai connecter le serveur (eth0) directement dans le modem.
Du coup, mon forward a cessé de fonctionner et j'ai du ajouter une règles dans le POSTROUTING, c'est normal ca?


Je crois que je comprend pas toujours quand on doit mettre un -i ethx ou -o ethx. ca va peut-être venir avec le temps.


Haut
 Profil  
Répondre en citant  
 Sujet du message: .
MessagePublié: 22 Fév 2007, 10:13 
Hors-ligne
Régulier
Régulier

Inscription : 14 Jan 2002, 22:46
Message(s) : 306
Je suis beaucoup visuel et c'est compliqué a suivre...

Si tu branches ton eth0 ou eth1 directement dans le modem, tu sera obligé de faire du Nat

Alex


Haut
 Profil  
Répondre en citant  
Afficher les messages publiés depuis :  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 9 message(s) ] 

Le fuseau horaire est UTC-5 heures [Heure d’été]


Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 2 invité(s)


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum

Recherche de:
Aller vers :  
cron
Propulsé par phpBB® Forum Software © phpBB Group
Traduction et support en françaisHébergement de site