Page 3 sur 3
Re: Mise en place d'un Firewall
Posté : jeu. 28 juin 2018 10:42
par dyox
Bonjour,
Avez-vous résolu votre problème de route qui ne passe pas par le firewall ?
n'autoriser QUE des macadresses précises à y accéder
On peut voir la commande ?
lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Ne voyant pas le script et ne croyant pas à un bug, je dirais une mauvaise configuration
Re: Mise en place d'un Firewall
Posté : jeu. 28 juin 2018 11:15
par rebeldu31
dyox a écrit : ↑jeu. 28 juin 2018 10:42
Bonjour,
Avez-vous résolu votre problème de route qui ne passe pas par le firewall ?
Mon firewall étant en DMZ sur ma box internet, tous les flux entrants passent donc par le firewall...
Et le forward fait bien son job : rediriger vers le serveur adéquate selon le port spécifié arrivant sur le firewall...
dyox a écrit : ↑jeu. 28 juin 2018 10:42
n'autoriser QUE des macadresses précises à y accéder
On peut voir la commande ?
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
dyox a écrit : ↑jeu. 28 juin 2018 10:42
lorsque je passe la chaîne "forward" à "drop" au lieu de "accept" (iptables -P FORWARD DROP), et malgré que je fasse un "accept" pour le forward (iptables -A FORWARD -p tcp -d XX.XX.XX.XX --dport XX -j ACCEPT), je n'accède plus à rien... si je la repasse à "accept", ça fonctionne
Ne voyant pas le script et ne croyant pas à un bug, je dirais une mauvaise configuration
Voici ce que le script fait au "start" :
'start')
sysctl -w net.ipv4.ip_forward=1
$0 stop
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport XXX -j DNAT --to-destination @IPSERVER:XXX
iptables -A FORWARD -p tcp -d @IPSERVER --dport XXX -j ACCEPT
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -N SSHIn
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
iptables -I INPUT -j SSHIn
Le script fait ceci au "stop" :
'stop')
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -N EstablishedConn
iptables -A EstablishedConn -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I OUTPUT -j EstablishedConn
iptables -I INPUT -j EstablishedConn
AUTORISE LA BOUCLE LOCALE
Si je laisse "iptables -P FORWARD DROP", le forward ne se fait pas. Si je fais "iptables -P FORWARD ACCEPT", il se fait.
Et si je laisse "FORWARD" à "ACCEPT", les filtres ne filtrent pas...
Dans le script j'ai, dans l'ordre :
- les redirections
- les filtres
Les filtres doivent-ils être avant les redirections ?
J'ai pourtant essayé mais rien n'y fait !!!
Re: Mise en place d'un Firewall
Posté : jeu. 28 juin 2018 13:18
par dyox
A vérifier ce que je vais dire, je ne suis pas expert avec iptables, je viens de m'y intéresser grâce à ce post.
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
Ne fonctionnera jamais à cause de la chaine SSHIn, cf :
https://www.inetdoc.net/guides/iptables ... l#macmatch
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
Par contre celle-là devrait fonctionner.
Sinon, le noyau accepte l'option ?
Je ne vois pas de -- state NEW, donc toute les nouvelles connections sont refusées en - P ... DROP, on est bien d'accord ?
Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
...
$0 stop veut dire quoi ?
Re: Mise en place d'un Firewall
Posté : jeu. 28 juin 2018 13:46
par rebeldu31
dyox a écrit : ↑jeu. 28 juin 2018 13:18
A vérifier ce que je vais dire, je ne suis pas expert avec iptables, je viens de m'y intéresser grâce à ce post.
iptables -A SSHIn -d @IPSERVER -p tcp -m mac --mac-source XX:XX:XX:XX:XX:XX --dport XXX -j ACCEPT
Ne fonctionnera jamais à cause de la chaine SSHIn, cf :
https://www.inetdoc.net/guides/iptables ... l#macmatch
Cela fonctionne parfaitement sur mes serveurs avec iptables local...
dyox a écrit : ↑jeu. 28 juin 2018 13:18
iptables -A FORWARD -p tcp -d @IPSERVER --dport xxx -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT
Par contre celle-là devrait fonctionner.
Sinon, le noyau accepte l'option ?
Cette règle fonctionne, mais uniquement si je commence pas mettre "ACCEPT" à "iptables -P FORWARD"... SI je mets "DROP", ça ne marche pas...
dyox a écrit : ↑jeu. 28 juin 2018 13:18
Je ne vois pas de -- state NEW, donc toute les nouvelles connections sont refusées en - P ... DROP, on est bien d'accord ?
Mon but étant de refuser tout et de n'accepter que certains flux...
dyox a écrit : ↑jeu. 28 juin 2018 13:18
Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
Je vais tester...
...
dyox a écrit : ↑jeu. 28 juin 2018 13:18
$0 stop veut dire quoi ?
$0 est le nom de mon script (/etc/initd/iptables)...
$0 stop ==> /etc/init.d/iptables stop
Re: Mise en place d'un Firewall
Posté : ven. 29 juin 2018 23:08
par rebeldu31
dyox a écrit : ↑jeu. 28 juin 2018 13:18
Dans l'ordre des règles je mettrai :
$0 stop
iptables -A POSTROUTING -t nat -j MASQUERADE
Testé ==> KO !!!
Je n'arrive pas à comprendre pourquoi je ne peux pas bloquer "par défaut" FORWARD et n'autoriser QUE ce que je veux, tout comme je le fais avec INPUT et qui fonctionne parfaitement !!!
