| iptables icmp firewall par manager30 |
vendredi 15 février 2008 à 10:31:44 |
Configuration: Linux Debian Epiphany 2.14
Bonjour,
dans un premier temps, dans la mesure où dans la politique par défaut OUTPUT est en ACCEPT, inutile de repréciser toutes les règles OUTPUT -j ACCEPT, je continue à étudier pour proposer une solution pour le reste. à suivre... S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
sympa de répondre rapidement |
Les règles de forward me semblent correctes, si ce n'est que je n'aurais peut-être pas précisé -m state --state NEW,ESTABLISHED,RELATED dans le sens réseau internet vers livebox
Pr contre le raisonnement ne me semble pas correct : tu veux autoriser une réponse au ping (que ce soit de l'intérieur ou de l'extérieur n'a pas d'importance), il s'agit donc d'une règle OUTPUT, puisque c'est ton FW qui répond. dans ce cas pour le ping interne ça devrait déjà marcher car : iptables -A INPUT -i eth1 -j ACCEPT (c'était déjà écrit, accepte tout ce qui entre depuis le réseau interne) iptables -A OUTPUT-o eth1 -j ACCEPT (ça aussi, mais c'est inutile (politique par défaut ACCEPT) et ça me paraît dangereux, car quelque soit ce qui vient de ton FW ça peut aller sur le réseau interne) donc en remplaçant la deuxième règle : iptables -A OUTPUT -p icmp -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT (n'autorisera que la réponse au ping vars le réseau interne) # Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours. iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT celle ci me semble ok, mais à compléter car tu autorises un externe à te pinger s'il y a déjà une connexion, mais pas au FW à lui répondre .... euh en fait non, puisque OUTPUT par défaut est ACCEPT... je le passerais en DROP par défaut aussi En espérant que ça te rendra service. S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
j'ai pas bien compris ce que tu voulais me dire. Tu pourrais pas reprendre mon script iptables et rajouter tes modifs en faisant un copier coller?
J'ai remarqué autre chose,lorsque mon parefeu sous linux est activé , quands je vais dans poste de travail /réseau je ne vois pas les pc1 et pc 2 Alors que lorsque il est désactivé je vois bien les pc 1 et 2. Que mon parefeu soit activé ou pas , j'arrive qd mm a pinger les pc 1 et 2 mm si je ne les voient pas dans poste de travail /réseau Quant aux pc 1 et pc 2 ils ne voient pas mon firewall dans leur voisinnage réseau. (mon pc FW est configurer en DMZ je sais pas si ca a une influence) si tu peux continuer a m'aider MERCI |
well,
mes modifs sont en gras. #!/bin/sh # J'autorise les paquets a etre envoyés dans la chaine FORWARD echo 1 >/proc/sys/net/ipv4/ip_forward # On vide toutes les tables iptables -F # Début des politiques par défaut iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP #Fin des politiques par défaut # from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat ) iptables -A INPUT -i lo -j ACCEPT #Règle suivante OK mais je vois pas l'intérêt, il vaut mieux être restrictif et ouvrir au compte goutte ce dont tu as besoin => je commente # iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # J'autorise la boucle locale #iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus) iptables -t filter -A OUTPUT -o lo -j ACCEPT # Je considere que mon réseau local est sur iptables -A INPUT -i eth1 -j ACCEPT #iptables -A OUTPUT-o eth1 -j ACCEPT # Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Toutes les connexions qui sortent du LAN vers le net sont aceptées # règle OK, mais super dangereuse, imagine un spyware, tout ce qu'il pourra envoyer sortira => limite toi aux protocoles utilisés (smpt,pop,http(s)..., ça diminuera grandement le risque iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT # Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours. iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT #règle pour la réponse du ping, que ce soit depuis le réseau interne ou de la live box iptables -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Je crois que ça devrait tourner, par contre pour la visibilité des machines, aucune idée à te proposer. désolé. S'il te prends l'envie de travailler, assieds toi et attends que ça passe
|
je devrais aussi monter un vpn |
j'ai garder mon script d'origine en rajoutant cette ligne que tu m'as proposée pour les ping
#règle pour la réponse du ping, que ce soit depuis le réseau interne ou de la live box iptables -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT Cependant les PC windows ne me ping toujours pas, alors que moi je peux les pinger. :-((( |
"Cependant les PC windows ne me ping toujours pas, alors que moi je peux les pinger."
étrange, ça devrait être l'inverse. je crois savoir d'où ça vient : désactive cette règle : iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT elle n'autorise un flux à entrer sur ton FW que si un autre flux en est à l'origine, quand une machine windows te ping iptables compare le flux aux règles dans l'ordre dans lequel elles sont écrites, comme le ping est traité par cette règle et que iptables considère que le paquet n'est pas "established", ni "related", il le jette, sans même regarder la dernière règle que tu as ajouté. S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
Regarde aussi les logs d'iptables pour voir ce qui se passe,ça peut être intéressant surtout sur une console réservée, car tu vois ce qui se passe en temps réel :
pour les mettre en place : Doit être fait dans une règle à part. Ex : iptables -A FORWARD –j LOG --log-level 6 Va enregistrer les logs de niveau 6 (infos) dans le fichier /var/log/messages. inconvénient : affiche les messages sur la console sur laquelle on est et "écrase" ce que l'on fait => Pour les afficher sur une console particulière ou dans un fichier il faut modifier le fichier /etc/syslog.conf Ajouter la ligne kern.info /dev/tty6 (va afficher les messages de log sur la console n° 6) ou kern.info /var/log/firewall.log (va enregistrer les logs dans le fichier firewall.log – nom du fichier à votre choix) ensuite redémarrer le service syslog (ou syslogd selon les distributions) S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
week end...la suite au prochain épisode, courage ;-)
S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
#!/bin/sh
# J'autorise les paquets a etre envoyés dans la chaine FORWARD echo 1 >/proc/sys/net/ipv4/ip_forward # On vide toutes les tables iptables -F # Début des politiques par défaut iptables -P INPUT DROP iptables -P OUTPUT ACCEPT iptables -P FORWARD DROP #Fin des politiques par défaut # from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat ) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # J'autorise la boucle locale #iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus) iptables -t filter -A OUTPUT -o lo -j ACCEPT # Je considere que mon réseau local est sur iptables -A INPUT -i eth1 -j ACCEPT iptables -A OUTPUT-o eth1 -j ACCEPT # Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Toutes les connexions qui sortent du LAN vers le net sont aceptées iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT #Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT # Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours. #iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # Autoriser ping iptables -t filter -A INPUT -p icmp -j ACCEPT iptables -t filter -A OUTPUT -p icmp -j ACCEPT VOILA comme vous pouvez le voir j'ai rajouter la regle # Autoriser ping et j'ai désactivé la regle juste au dessus #je laisse rentrer.... ____________________________________________________________________________________ Dans ce schéma réseau : pc1 +pc2 + fw--------swtich------------livebox GRace a ces modifs les PC1 et 2 ping bien le firewall! Le firewall peut lui aussi pinger les 2 autre pc. J'ai donc voulu faire un test avec ce schéma réseau: pc1 + pc2 -------------switch--------------------eth1 ---FIREWALL----eth0---------------------LIVEBOX _____________________________________________________________________________________ Je vous donne les configs IP avant de vous donenr les résultats du test: pc1 + pc2 en dhcp dans la plage (192.168.1.9 a 1.200) eth0 192.168.1.78 255.255.255.0 192.168.1.1 eth1 192.168.1.8 255.255.255.0 pass: 192.168.1.78 livebox 192.168.1.1 ____________________________________________________________________________________ Voici les résultats: pc1 et pc 2 ping eth1 (192.168.1.8) pc1 et pc 2 ping eth0 (192.168.1.78) FW ping pc1 et pc2 Probleme pc , pc2 et firewall n'ont plus acces au net,aucun ping vers 192.168.1.1 ne passe Voici le message lorsque je tente un ping depusi le firewall vers 192.168.1.1 : "DESTINATION HOST UNREACHABLE" ________________________________________________________________________________________ Si cela peut vous aider voila ce que me donne la commande " arp -a " (avec le FW Linux) ? (192.168.1.1) at "incomplete" on eth1 ?(192.168.1.10) at 00:16:xx:xx:xx [ether] on eth1 ET voici ce que me donne la commande " route " (toujours avec le FW) D=destination , P = passerelle ; GM= GenMask ;I=indic ; M = metric ; ref = reference :; U = use ; IF= INTERFACE D---------------------------P--------------------------GM-------------------------I---------------M--------------R---------------U----------------IF- 192.168.1.0 --------- ------ * ---- --------------- 255.255.255.0 -------- ---- U ------------- 0 -------------- 0 ------------- 0 ------------- eth1 192.168.1.0 --------- ----- * ----- ------------------ 255.255.255.0 ----- ----U--------------- 0 ------------- 0 ------------- 0------------- eth 0 default -----------------192.168.1.0 ---------------- 0.0.0.0---- --------------- UG -----------0 ------------- 0 ------------ 0 ------------- eth0 Voila tout ^^ MERCI DE M'AIDER |
désole pour la structure de " route " :s |
up svp! |
bjr
suis en stage réseau en ce moment, donc peu de temps pour passer sur le site... l'info intéressante est qu' on a configuré un iptables aux petits oignons,... la suite au prochain épisode S'il te prends l'envie de travailler, assieds toi et attends que ça passe |
c'est bon laisse tombé merci quand meme , mais j'y suis arrivé il fallait que je configure un réseau different de chaque coté du parefeu
un en 1.0 et l'autre en 2.0 sinon un conflit dans la table de routage MERCI
|
| 13/05 12h39 | firewall sous linux debian iptables problemes | Réseaux | 13/05 12h39 | 0 |
| 06/02 15h06 | Firewall iptables débutant [Aide svp] | Linux/Unix | 06/02 15h06 | 0 |
| 06/10 16h37 | [iptables] aidez moi pour un firewall | Linux/Unix | 07/10 07h32 | 5 |
| 22/11 16h00 | firewall avec iptables | Linux/Unix | 22/11 16h28 | 1 |
![]() | Comodo Firewall Pro - Comodo Firewall pro est un pare-feu personnel gratuit proposant la plupart des fonctionnalités proposées par les firewalls... | Catégorie: Firewall Licence: Freeware/gratuit |
![]() | Sygate Personal Firewall - Sygate Personal Firewall est un pare-feu personnel, gratuit pour une utilisation personnelle permettant de protéger... | Catégorie: Firewall Licence: Freeware/gratuit |
![]() | Jetico Personal Firewall - Jetico Personal Firewall est un pare-feu personnel offrant un paramétrage fin, un journal d'activités détaillé et... | Catégorie: Firewall Licence: Freeware/gratuit |
![]() | Online Armor Personal Firewall - Online Armor est un Firewall + un IDS Uniquement en anglais - pour l'instant - mais complet et entièrement gratuit. ... | Catégorie: Firewall Licence: Freeware/gratuit |