Mise en place d'un Firewall

Vous avez réalisé ou vous voulez réaliser un truc impensable avec votre Raspberry Pi ? Cet endroit est pour vous...

Modérateur : Francois

dyox
Raspinaute
Messages : 443
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Mise en place d'un Firewall

Message par dyox » jeu. 28 juin 2018 10:42

Bonjour,

Avez-vous résolu votre problème de route qui ne passe pas par le firewall ?
n'autoriser QUE des macadresses précises à y accéder
On peut voir la commande ?
lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Ne voyant pas le script et ne croyant pas à un bug, je dirais une mauvaise configuration :mrgreen:
Débutant sous RPi / linux
[Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (liste de liens utiles)

rebeldu31
Raspinaute
Messages : 243
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 28 juin 2018 11:15

dyox a écrit :
jeu. 28 juin 2018 10:42
Bonjour,

Avez-vous résolu votre problème de route qui ne passe pas par le firewall ?
Mon firewall étant en DMZ sur ma box internet, tous les flux entrants passent donc par le firewall...
Et le forward fait bien son job : rediriger vers le serveur adéquate selon le port spécifié arrivant sur le firewall...
8-)
dyox a écrit :
jeu. 28 juin 2018 10:42
n'autoriser QUE des macadresses précises à y accéder
On peut voir la commande ?
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
dyox a écrit :
jeu. 28 juin 2018 10:42
lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Ne voyant pas le script et ne croyant pas à un bug, je dirais une mauvaise configuration :mrgreen:
Voici ce que le script fait au "start" :
'start')
sysctl -w net.ipv4.ip_forward=1
$0 stop
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXX -j DNAT --to-destination @IPSERVER:XXX
iptables -A FORWARD -p tcp -d @IPSERVER --dport XXX -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE

iptables -N SSHIn
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
iptables -I INPUT -j SSHIn

Le script fait ceci au "stop" :
'stop')

iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -N EstablishedConn
iptables -A EstablishedConn -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -j EstablishedConn
iptables -I INPUT -j EstablishedConn

AUTORISE LA BOUCLE LOCALE


Si je laisse "iptables -P FORWARD DROP", le forward ne se fait pas. Si je fais "iptables -P FORWARD ACCEPT", il se fait.
Et si je laisse "FORWARD" à "ACCEPT", les filtres ne filtrent pas...

Dans le script j'ai, dans l'ordre :
- les redirections
- les filtres

Les filtres doivent-ils être avant les redirections ?
J'ai pourtant essayé mais rien n'y fait !!!
:roll:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

dyox
Raspinaute
Messages : 443
Enregistré le : dim. 28 déc. 2014 15:28
Localisation : Le long de la côte, au dessus du pays des bigoudennes, aïe

Re: Mise en place d'un Firewall

Message par dyox » jeu. 28 juin 2018 13:18

A vérifier ce que je vais dire, je ne suis pas expert avec iptables, je viens de m'y intéresser grâce à ce post.
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
Ne fonctionnera jamais à cause de la chaine SSHIn, cf : https://www.inetdoc.net/guides/iptables ... l#macmatch
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
Par contre celle-là devrait fonctionner.
Sinon, le noyau accepte l'option ?

Je ne vois pas de -- state NEW, donc toute les nouvelles connections sont refusées en - P ... DROP, on est bien d'accord ?

Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
...

$0 stop veut dire quoi ?
Débutant sous RPi / linux
[Pour bien commencer] Pour les nouveaux acquéreurs de Raspberry Pi (liste de liens utiles)

rebeldu31
Raspinaute
Messages : 243
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » jeu. 28 juin 2018 13:46

dyox a écrit :
jeu. 28 juin 2018 13:18
A vérifier ce que je vais dire, je ne suis pas expert avec iptables, je viens de m'y intéresser grâce à ce post.
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
Ne fonctionnera jamais à cause de la chaine SSHIn, cf : https://www.inetdoc.net/guides/iptables ... l#macmatch
Cela fonctionne parfaitement sur mes serveurs avec iptables local...
dyox a écrit :
jeu. 28 juin 2018 13:18
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
Par contre celle-là devrait fonctionner.
Sinon, le noyau accepte l'option ?
Cette règle fonctionne, mais uniquement si je commence pas mettre "ACCEPT" à "iptables -P FORWARD"... SI je mets "DROP", ça ne marche pas...
dyox a écrit :
jeu. 28 juin 2018 13:18
Je ne vois pas de -- state NEW, donc toute les nouvelles connections sont refusées en - P ... DROP, on est bien d'accord ?
Mon but étant de refuser tout et de n'accepter que certains flux...
dyox a écrit :
jeu. 28 juin 2018 13:18
Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
Je vais tester...
...
dyox a écrit :
jeu. 28 juin 2018 13:18
$0 stop veut dire quoi ?
$0 est le nom de mon script (/etc/initd/iptables)...
$0 stop ==> /etc/init.d/iptables stop
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

rebeldu31
Raspinaute
Messages : 243
Enregistré le : sam. 5 déc. 2015 20:17
Localisation : Toulouse

Re: Mise en place d'un Firewall

Message par rebeldu31 » ven. 29 juin 2018 23:08

dyox a écrit :
jeu. 28 juin 2018 13:18
Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
Testé ==> KO !!!

Je n'arrive pas à comprendre pourquoi je ne peux pas bloquer "par défaut" FORWARD et n'autoriser QUE ce que je veux, tout comme je le fais avec INPUT et qui fonctionne parfaitement !!!
:o :shock: :roll:
Pi3 : envoi/réception SMS et sauvegardes
Pi3 : serveur de mail privé
Pi3 : cluster du serveur de mail (en cours)
Pi3 : firewall (en cours)
Pi2 : tests
NAS Synology DS416 (2x2To en RAID1 + 1x2To + 1x4To)

Répondre

Retourner vers « Utilisateurs avancés »