Rechercher : dans
Par :

Iptables icmp firewall

Dernière réponse le 21 fév 2008 à 18:24:56 manager30, le 15 fév 2008 à 10:31:44 
 Signaler ce message aux modérateurs

Bonjour,

Mon schéma réseau ACTUEL est le suivant:

pc1 + pc 2 + FW-----------------switch---------------livebox

LES PINGS

Le firewall est relié au switch par eth0.
pc1 ping pc2
pc2 ping pc1
FW ping pc1 et pc2
Mais pc1 et pc2 ne ping pas FW

(vous aurez remarquer que dans ce cas le firewall ne sert a rien , car je ne veux pour le moment pas couper la connection au net pour les pc1 et 2,car apres un test ou j'avais mis en place le FW entre le switch et la livebox,personne n'accedait au net)

Je voudrais pour le moment simplement faire en sorte que les PC 1 et 2 puissent "pinger" mon FW.

Quant au schéma FINAL réseau qui sera mis en place , le voici:

pc1 +pc2---------switch-------- eth1--FW--eth0-------------livebox


Je pense qu'il manque une rege iptabels ou 2 a mon script iptabls pour résoudre ce probleme,n'hésitez a me dire quelle regle ajouter svp.
Il me faudrait une regle qui fasse en sorte que les pc1 et 2 puisse atteindre eth1dans le cas du schéma réseau FINAL. MERCI de m'aider

Voici le script:

#!/bin/sh

# J'autorise les paquets a etre envoyés dans la chaine FORWARD

echo 1 >/proc/sys/net/ipv4/ip_forward

# On vide toutes les tables
iptables -F

# Début des politiques par défaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Fin des politiques par défaut

# from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat )
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# J'autorise la boucle locale

#iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus)
iptables -t filter -A OUTPUT -o lo -j ACCEPT


# Je considere que mon réseau local est sur

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT

# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Toutes les connexions qui sortent du LAN vers le net sont aceptées

iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.

iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


MERCI DE répondre.

Configuration: Linux Debian
Epiphany 2.14

Meilleures réponses pour « iptables icmp firewall » dans :
[Linux] Installation d'un Firewall Voir Installation d'un Firewall sous Linux Avant-propos II - Iptables II.1 - Introduction II.2 - P comme Policy : Politique II.3 - A comme Append : Ajouter II.4 - I comme Insert : Insérer II.5 - L comme List : Lister II.6 - D comme Delete :...
Installer un firewall sous Ubuntu (Firestarter) VoirAvec l'installation par défaut, Ubuntu n'a pas le moindre port ouvert, ce qui est très sûr. Le risque est donc très faible. Vous ne devriez donc pas avoir besoin d'un firewall. Si toutefois vous en voulez un, vous pouvez utiliser Firestarter. Il...
Installer un firewall sous Ubuntu (gufw) VoirLinux possède un firewall puissant (netfilter) qu'on peut configurer avec un outil en ligne de commande (iptables). Mais ce n'est pas très intuitif. Ubuntu 8.10 (Intrepid Ibex) est fourni avec un outil simplifié de configuration du firewall, gufw...
[Sécurité] Utilisation d'un firewall VoirPremière utilisation d'un firewall Les explications étant basées sur le pare-feu ZoneAlarm, elles sont exactes pour d'autres pare-feu, il peut toutefois y avoir une différence de gestion ou de fonctionnement. 1. Qu'est ce qu'un firewall (ou...
Télécharger Sygate Personal Firewall VoirSygate Personal Firewall est un pare-feu personnel, gratuit pour une utilisation personnelle permettant de protéger l'ordinateur des attaques externes. Il propose des fonctionnalités de protection des accès à internet partagé et effectue une...
Télécharger Online Armor Personal Firewall VoirOnline Armor est un Firewall + un IDS Disponible en français désormais, complet et entièrement gratuit. Un test de performances très intéressant se trouve ici (en anglais) : Lire tout le test Voir le tableau des résultats Online Armor est...
Firewall (pare-feu) VoirFirewall (pare-feu) Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie généralement employée par le...
Le protocole ICMP VoirLa gestion des erreurs Le protocole ICMP (Internet Control Message Protocol) est un protocole qui permet de gérer les informations relatives aux erreurs aux machines connectées. Etant donné le peu de contrôles que le protocole IP réalise, il...
Installer le firewall Tiny Personal Firewall VoirIntérêt d'un firewall Lorsqu'un ordinateur est connecté à Internet (ou à n'importe quel réseau), celui-ci est une cible potentielle pour des attaques. De nombreux paquets de données sont envoyés au hasard par des hackers afin de repérer des...

1

val92160, le 15 fév 2008 à 10:49:35

Bonjour,

dans un premier temps, dans la mesure où dans la politique par défaut OUTPUT est en ACCEPT, inutile de repréciser toutes les règles OUTPUT -j ACCEPT, je continue à étudier pour proposer une solution pour le reste.

à suivre... S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

2

manager30, le 15 fév 2008 à 10:54:12

Sympa de répondre rapidement

Répondre à manager30

3

val92160, le 15 fév 2008 à 11:10:26

Les règles de forward me semblent correctes, si ce n'est que je n'aurais peut-être pas précisé -m state --state NEW,ESTABLISHED,RELATED dans le sens réseau internet vers livebox

Pr contre le raisonnement ne me semble pas correct : tu veux autoriser une réponse au ping (que ce soit de l'intérieur ou de l'extérieur n'a pas d'importance), il s'agit donc d'une règle OUTPUT, puisque c'est ton FW qui répond.

dans ce cas pour le ping interne ça devrait déjà marcher car :

iptables -A INPUT -i eth1 -j ACCEPT (c'était déjà écrit, accepte tout ce qui entre depuis le réseau interne)
iptables -A OUTPUT-o eth1 -j ACCEPT (ça aussi, mais c'est inutile (politique par défaut ACCEPT) et ça me paraît dangereux, car quelque
soit ce qui vient de ton FW ça peut aller sur le réseau interne)

donc en remplaçant la deuxième règle :
iptables -A OUTPUT -p icmp -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT (n'autorisera que la réponse au ping vars le réseau interne)

# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.
iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT


celle ci me semble ok, mais à compléter car tu autorises un externe à te pinger s'il y a déjà une connexion, mais pas au FW à lui répondre .... euh en fait non, puisque OUTPUT par défaut est ACCEPT... je le passerais en DROP par défaut aussi

En espérant que ça te rendra service.
S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

4

manager30, le 15 fév 2008 à 11:35:01

J'ai pas bien compris ce que tu voulais me dire. Tu pourrais pas reprendre mon script iptables et rajouter tes modifs en faisant un copier coller?

J'ai remarqué autre chose,lorsque mon parefeu sous linux est activé , quands je vais dans poste de travail /réseau je ne vois pas les pc1 et pc 2
Alors que lorsque il est désactivé je vois bien les pc 1 et 2.
Que mon parefeu soit activé ou pas , j'arrive qd mm a pinger les pc 1 et 2 mm si je ne les voient pas dans poste de travail /réseau
Quant aux pc 1 et pc 2 ils ne voient pas mon firewall dans leur voisinnage réseau.

(mon pc FW est configurer en DMZ je sais pas si ca a une influence)

si tu peux continuer a m'aider MERCI

Répondre à manager30

5

val92160, le 15 fév 2008 à 11:51:18

Well,
mes modifs sont en gras.


#!/bin/sh

# J'autorise les paquets a etre envoyés dans la chaine FORWARD

echo 1 >/proc/sys/net/ipv4/ip_forward

# On vide toutes les tables
iptables -F

# Début des politiques par défaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#Fin des politiques par défaut

# from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat )
iptables -A INPUT -i lo -j ACCEPT

#Règle suivante OK mais je vois pas l'intérêt, il vaut mieux être restrictif et ouvrir au compte goutte ce dont tu as besoin => je commente
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# J'autorise la boucle locale

#iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus)
iptables -t filter -A OUTPUT -o lo -j ACCEPT


# Je considere que mon réseau local est sur

iptables -A INPUT -i eth1 -j ACCEPT
#iptables -A OUTPUT-o eth1 -j ACCEPT

# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Toutes les connexions qui sortent du LAN vers le net sont aceptées
# règle OK, mais super dangereuse, imagine un spyware, tout ce qu'il pourra envoyer sortira => limite toi aux protocoles utilisés (smpt,pop,http(s)..., ça diminuera grandement le risque


iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.

iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

#règle pour la réponse du ping, que ce soit depuis le réseau interne ou de la live box
iptables -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT



Je crois que ça devrait tourner, par contre pour la visibilité des machines, aucune idée à te proposer. désolé.
S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

6

val92160, le 15 fév 2008 à 12:02:08

J'oubliais : c'est dans le cas où ton FW ne sert qu'à ça (pas de clients web, mesg... qui ont besoin de communiquer avec le réseau) S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

7

manager30, le 15 fév 2008 à 12:47:32

Je devrais aussi monter un vpn

Répondre à manager30

8

manager30, le 15 fév 2008 à 14:11:57

J'ai garder mon script d'origine en rajoutant cette ligne que tu m'as proposée pour les ping


#règle pour la réponse du ping, que ce soit depuis le réseau interne ou de la live box
iptables -A OUTPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

Cependant les PC windows ne me ping toujours pas, alors que moi je peux les pinger. :-(((

Répondre à manager30

9

val92160, le 15 fév 2008 à 14:58:29

"Cependant les PC windows ne me ping toujours pas, alors que moi je peux les pinger."
étrange, ça devrait être l'inverse.

je crois savoir d'où ça vient :

désactive cette règle :
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

elle n'autorise un flux à entrer sur ton FW que si un autre flux en est à l'origine,
quand une machine windows te ping iptables compare le flux aux règles dans l'ordre dans lequel elles sont écrites,
comme le ping est traité par cette règle et que iptables considère que le paquet n'est pas "established", ni "related", il le jette, sans même regarder la dernière règle que tu as ajouté.


S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

10

val92160, le 15 fév 2008 à 15:23:04

Regarde aussi les logs d'iptables pour voir ce qui se passe,ça peut être intéressant surtout sur une console réservée, car tu vois ce qui se passe en temps réel :

pour les mettre en place :

Doit être fait dans une règle à part.
Ex : iptables -A FORWARD –j LOG --log-level 6
Va enregistrer les logs de niveau 6 (infos) dans le fichier /var/log/messages.
inconvénient : affiche les messages sur la console sur laquelle on est et "écrase" ce que l'on fait

=>
Pour les afficher sur une console particulière ou dans un fichier il faut modifier le fichier /etc/syslog.conf
Ajouter la ligne
kern.info /dev/tty6 (va afficher les messages de log sur la console n° 6)
ou kern.info /var/log/firewall.log (va enregistrer les logs dans le fichier firewall.log – nom du fichier à votre choix)

ensuite redémarrer le service syslog (ou syslogd selon les distributions)

S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

11

val92160, le 15 fév 2008 à 15:46:23

Week end...la suite au prochain épisode, courage ;-) S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

12

manager30, le 15 fév 2008 à 16:31:01
  • +1

#!/bin/sh

# J'autorise les paquets a etre envoyés dans la chaine FORWARD

echo 1 >/proc/sys/net/ipv4/ip_forward

# On vide toutes les tables
iptables -F

# Début des politiques par défaut
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#Fin des politiques par défaut

# from ESTABLISHED and RELATED connections ( accept les paquets lier à un etat )
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# J'autorise la boucle locale

#iptables -t filter -A INPUT -i lo -j ACCEPT (au dessus)
iptables -t filter -A OUTPUT -o lo -j ACCEPT


# Je considere que mon réseau local est sur

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT-o eth1 -j ACCEPT

# Translation d'adresses pour tout ce qui traverse la passerelle en sortant par eth0

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


# Toutes les connexions qui sortent du LAN vers le net sont aceptées

iptables -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

#Seules les connexions deja établies ,ou en relation avec des connexions établies sont acceptés venant du net vers le LAN

iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT


# Je laisse rentrer les réponses de ping depuis le parefeu vers l'internet, uniquement si ceux-ci proviennet de connexions deja établies ou dépendantes d'une connexion en cours.

#iptables -A INPUT -p icmp -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Autoriser ping
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT


VOILA comme vous pouvez le voir j'ai rajouter la regle # Autoriser ping et j'ai désactivé la regle juste au dessus #je laisse rentrer....

____________________________________________________________________________________

Dans ce schéma réseau :
pc1 +pc2 + fw--------swtich------------livebox

GRace a ces modifs les PC1 et 2 ping bien le firewall! Le firewall peut lui aussi pinger les 2 autre pc.

J'ai donc voulu faire un test avec ce schéma réseau:
pc1 + pc2 -------------switch--------------------eth1 ---FIREWALL----eth0---------------------LIVEBOX

_____________________________________________________________________________________

Je vous donne les configs IP avant de vous donenr les résultats du test:

pc1 + pc2 en dhcp dans la plage (192.168.1.9 a 1.200)
eth0 192.168.1.78 255.255.255.0 192.168.1.1
eth1 192.168.1.8 255.255.255.0 pass: 192.168.1.78
livebox 192.168.1.1

____________________________________________________________________________________

Voici les résultats:

pc1 et pc 2 ping eth1 (192.168.1.8)
pc1 et pc 2 ping eth0 (192.168.1.78)
FW ping pc1 et pc2

Probleme pc , pc2 et firewall n'ont plus acces au net,aucun ping vers 192.168.1.1 ne passe
Voici le message lorsque je tente un ping depusi le firewall vers 192.168.1.1 : "DESTINATION HOST UNREACHABLE"

________________________________________________________________________________________

Si cela peut vous aider voila ce que me donne la commande " arp -a " (avec le FW Linux)

? (192.168.1.1) at "incomplete" on eth1
?(192.168.1.10) at 00:16:xx:xx:xx [ether] on eth1



ET voici ce que me donne la commande " route " (toujours avec le FW)

D=destination , P = passerelle ; GM= GenMask ;I=indic ; M = metric ; ref = reference :; U = use ; IF= INTERFACE

D---------------------------P--------------------------GM-------------------------I---------------M--------------R---------------U----------------IF-
192.168.1.0 --------- ------ * ---- --------------- 255.255.255.0 -------- ---- U ------------- 0 -------------- 0 ------------- 0 ------------- eth1
192.168.1.0 --------- ----- * ----- ------------------ 255.255.255.0 ----- ----U--------------- 0 ------------- 0 ------------- 0------------- eth 0
default -----------------192.168.1.0 ---------------- 0.0.0.0---- --------------- UG -----------0 ------------- 0 ------------ 0 ------------- eth0




Voila tout ^^ MERCI DE M'AIDER

Répondre à manager30

13

manager30, le 15 fév 2008 à 17:50:01

Désole pour la structure de " route " :s

Répondre à manager30

14

manager30, le 18 fév 2008 à 11:56:27

Up svp!

Répondre à manager30

15

val92160, le 21 fév 2008 à 08:52:07

Bjr
suis en stage réseau en ce moment, donc peu de temps pour passer sur le site...
l'info intéressante est qu' on a configuré un iptables aux petits oignons,... la suite au prochain épisode S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160

16

manager30, le 21 fév 2008 à 09:37:10

C'est bon laisse tombé merci quand meme , mais j'y suis arrivé il fallait que je configure un réseau different de chaque coté du parefeu
un en 1.0 et l'autre en 2.0 sinon un conflit dans la table de routage

MERCI

Répondre à manager30

17

 val92160, le 21 fév 2008 à 18:24:56

évidemment il fallait y penser ;-) S'il te prends l'envie de travailler, assieds toi et attends que ça passe

Répondre à val92160