[firewall Iptables] accés proxy et dns

accés proxy et dns [firewall Iptables] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 26-01-2006 à 16:42:16    

Bonjour ...  
 
Voila je posséde un reseau avec bien entendue un server linux debian stable qui me sert de :
 
Firewall iptable (c'est lui qui et méchant !)
Proxy (Squid + Privoxy) je compte maitre par la suite un clamaV pour scanner le cache du Squid...
SNORT (Intrusion Detection System)
Server DNS Bind9
Server FTP
Server Web
 
Plant du réseau :
 
Routeur Alice box
 
[R1] => [eth1 server eth0] => [Poste client]
 
Server :
eth1 :
ip : 192.168.1.200 mask : 255.255.255.0
pass : 192.168.1.1
dns : 127.0.0.1
 
eth0 :
ip : 10.0.0.1 mask 255.0.0.0
pass : 10.0.0.1
dns : 127.0.0.1
 
et les poste clients :
ip : 10.0.0.xxx mask : 255.0.0.0
pass : 10.0.0.1
dns : 10.0.0.1
 
le poste principale qui permet l'administration du server et le poste 10.0.0.2 (le mien  ;) )
 
Config :
 
squid.conf

Code :
  1. # Define Privoxy as parent proxy (without ICP)
  2. cache_peer 127.0.0.1 parent 8118 7 no-query
  4. # Define ACL for protocol FTP
  5. acl ftp proto FTP
  7. # Forward all the rest to Privoxy
  8. #never_direct allow all
  10. # Do not forward FTP requests to Privoxy
  11. always_direct allow ftp
  13. # Pas d'infos sur ces lignes
  14. hierarchy_stoplist cgi-bin ?
  15. acl QUERY urlpath_regex cgi-bin \?
  16. no_cache deny QUERY
  18. # Taille maximum de mémoire vive utilisée pour stocker du cache
  19. cache_mem 16 MB
  20. # Taille maximum des objets stockés dans le cache
  21. maximum_object_size 15 MB
  23. # Paramétrage du cache N°1 sur le premier disque
  24. # - Type de stockage
  25. # - Emplacement du cache
  26. # - Taille totale du cache en MB
  27. # - Nombre de répertoires de niveau 1 et de niveau 2
  28. cache_dir ufs /var/spool/squid 512 16 256
  30. # Paramétrage du cache N°2 sur le deuxième disque
  31. cache_dir ufs /home/dd2/squid 512 16 256
  33. # Format des logs :
  34. # -> Avec off, squid utilise son propre format de logs,
  35. #    mais la date et l'heure ne sont pas lisible.
  36. # -> Avec on, squid utilise le format standard CLF
  37. emulate_httpd_log off
  39. # Ces deux lignes permettent d'intégrer le plugin SquidGuard
  40. #redirect_program /usr/bin/squidGuard
  41. #redirect_children 4
  43. # Pas d'infos sur ces lignes
  44. refresh_pattern ^ftp:                1440        20%        10080
  45. refresh_pattern ^gopher:        1440        0%        1440
  46. refresh_pattern .                0        20%        4320
  47. # **********************************************************
  48. # ** Définition des restrictions pour l'accès au cache    **
  49. # **********************************************************
  51. # Liste des acl par défaut -> A conserver
  52. acl all src 0.0.0.0/0.0.0.0
  53. acl manager proto cache_object
  54. acl localhost src 127.0.0.1/255.255.255.255
  55. acl to_localhost dst 127.0.0.0/8
  56. acl SSL_ports port 443 563        # https, snews
  57. acl SSL_ports port 873                # rsync
  58. acl Safe_ports port 80                # http
  59. acl Safe_ports port 21                # ftp
  60. acl Safe_ports port 443 563        # https, snews
  61. acl Safe_ports port 70                # gopher
  62. acl Safe_ports port 210                # wais
  63. acl Safe_ports port 1025-65535        # unregistered ports
  64. acl Safe_ports port 280                # http-mgmt
  65. acl Safe_ports port 488                # gss-http
  66. acl Safe_ports port 591                # filemaker
  67. acl Safe_ports port 777                # multiling http
  68. acl Safe_ports port 631                # cups
  69. acl Safe_ports port 873                # rsync
  70. acl Safe_ports port 901                # SWAT
  71. acl purge method PURGE
  72. acl CONNECT method CONNECT
  74. # ACL qui définit le réseau utilisant le cache
  75. acl MonReseau src 10.0.0.0/255.0.0.0
  77. # Accès par défaut -> A conserver
  78. http_access allow manager localhost
  79. http_access deny manager
  80. http_access allow purge localhost
  81. http_access deny purge
  82. http_access deny !Safe_ports
  83. http_access deny CONNECT !SSL_ports
  84. http_access allow localhost
  86. # Donne accès au cache au réseau
  87. http_access allow  MonReseau
  89. # Interdit tout le reste
  90. http_access deny all
  92. # Autorise les réponses pour tout le monde (par défaut)
  93. http_reply_access allow all
  94. # Autorise le protocole icp pour tout le monde (par défaut)
  95. icp_access allow all
  96. coredump_dir /var/spool/squid


 
le fichier de configuration de mon firewall iptables :
 
firewall.sh
 

Code :
  1. #!/bin/sh
  3. # Activation du forwarding
  4. echo 1 > /proc/sys/net/ipv4/ip_forward
  6. # pour empêcher les attaques de type spoofing
  7. # et bloquer les réponses ICMP du firewall,
  9. if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]
  10. then
  11. for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
  12. do
  13. echo 1 > $filtre
  14. done
  15. fi
  17. # pas de icmp
  19. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  20. echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
  22. # chargement de iptables.
  24. modprobe ip_tables
  26. # on va charger quelques modules supplémentaires pour
  27. # gérer la translation d'adresse, l'IRC et le FTP
  29. modprobe ip_nat_ftp
  30. modprobe ip_nat_irc
  31. modprobe iptable_filter
  32. modprobe iptable_nat
  34. # vidages de toutes les règles
  36. iptables -F
  37. iptables -X
  39. # activation des logs
  41. iptables -N LOG_DROP
  42. iptables -A LOG_DROP -j LOG --log-prefix '[IPTABLES DROP] : '
  43. iptables -A LOG_DROP -j DROP
  45. iptables -N LOG_ACCEPT
  46. iptables -A LOG_ACCEPT -j LOG --log-prefix '[IPTABLES ACCEPT] : '
  47. iptables -A LOG_ACCEPT -j ACCEPT
  49. # ont refuse tout
  51. iptables -P INPUT DROP
  52. iptables -P OUTPUT DROP
  53. iptables -P FORWARD DROP
  55. # Pour éviter les problèmes, on va tout accepter sur
  56. # la machine en local (interface lo).
  58. iptables -A INPUT -i lo -j ACCEPT
  59. iptables -A OUTPUT -o lo -j ACCEPT
  61. echo " [initialisation terminé]"
  63. # autorisation du proxy squid a sortire sur l interface eth1 par le port 80
  65. iptables -A OUTPUT -o eth1 -m state --state NEW,ESTABLISHED -p tcp --dport 80 -j ACCEPT
  66. iptables -A INPUT -i eth1 -m state --state ESTABLISHED -p tcp --sport 80 -j ACCEPT
  68. # proxy soit totalement transparent pour le LAN
  70. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 127.0.0.1:3128
  72. #==============================================================
  73. #==============================================================
  75. ### activation routage entre eth1 et eth0 ###
  77. iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE
  79. ### acceptation des connection ssh port 22 de la machine 10.0.0.2 ###
  81. iptables -A INPUT -i eth0 -s 10.0.0.2 -m state --state NEW,ESTABLISHED -p tcp --dport 22 -j LOG_ACCEPT
  82. iptables -A OUTPUT -o eth0 -d 10.0.0.2 -m state --state ESTABLISHED -p tcp --sport 22 -j LOG_ACCEPT
  84. ### acceptation du dns ###
  86. iptables -A INPUT -i eth0 --protocol udp --source-port 53 -j ACCEPT
  87. iptables -A OUTPUT -o eth0 --protocol udp --destination-port 53 -j ACCEPT
  88. iptables -A INPUT -i eth0 --protocol tcp --source-port 53 -j ACCEPT
  89. iptables -A OUTPUT -o eth0 --protocol tcp --destination-port 53 -j ACCEPT
  91. ### acceptation de Edonkey2000 sur 10.0.0.2 ###
  93. iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 3404 -j DNAT --to 10.0.0.2:3404
  94. iptables -A PREROUTING -t nat -i eth1 -p udp --dport 3403 -j DNAT --to 10.0.0.2:3403
  95. iptables -A INPUT -p udp -m state --state NEW --dport 3403 -i eth1 -j ACCEPT
  96. iptables -A INPUT -p tcp -m state --state NEW --dport 3404 -i eth1 -j ACCEPT
  98. #==============================================================
  99. #==============================================================
  101. # ont accpete les connection du eth0(reseau) vers le eth1(internet)
  103. iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
  104. iptables -A FORWARD -o eth0 -i eth1 -j ACCEPT
  106. # permettre à l'ensemble du LAN de dialoguer sur internet avec la même adresse IP sinon, bien
  108. iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -j MASQUERADE
  110. # Toutes les règles qui n'ont pas passé les
  111. # règles du firewall seront refusées et loguées...
  113. iptables -A FORWARD -j LOG_DROP
  114. iptables -A INPUT -j LOG_DROP
  115. iptables -A OUTPUT -j LOG_DROP
  117. echo " [Termine]"


 
le fichier qui me permet de suprimer le firewall iptables :
desac_firewall.sh

Code :
  1. #!/bin/sh
  3. # On remet la police par défaut à ACCEPT
  5. iptables -P INPUT ACCEPT
  6. iptables -P FORWARD ACCEPT
  7. iptables -P OUTPUT ACCEPT
  9. # On remet les polices par défaut pour la table NAT
  11. iptables -t nat -P PREROUTING ACCEPT
  12. iptables -t nat -P POSTROUTING ACCEPT
  13. iptables -t nat -P OUTPUT ACCEPT
  15. # On vide (flush) toutes les règles existantes
  17. iptables -F
  18. iptables -t nat -F
  20. # On efface toutes les chaînes qui ne sont pas à defaut dans la table filter et nat
  22. iptables -X
  23. iptables -t nat -X
  25. echo " [termine]"


 
et mon fichier de configuration par default de mon iptables :
default.sh

Code :
  1. #!/bin/sh
  3. ### acceptation de Edonkey2000 sur 10.0.0.2 ###
  5. iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 3404 -j DNAT --to 10.0.0.2:3404
  6. iptables -A PREROUTING -t nat -i eth1 -p udp --dport 3403 -j DNAT --to 10.0.0.2:3403
  7. iptables -A INPUT -p udp -m state --state NEW --dport 3403 -i eth1 -j ACCEPT
  8. iptables -A INPUT -p tcp -m state --state NEW --dport 3404 -i eth1 -j ACCEPT
  10. ### activation routage entre eth1 et eth0 ###
  12. iptables -A POSTROUTING -t nat -o eth1 -j MASQUERADE


 
 

  • Quand je désactive le firewall iptables et que je lance mon fichier de comfiguration "default.sh" tout se passe bien ,j'ai bien le proxy 10.0.0.1:3128 etc ...


  • Quand le lance le firewall Iptables "Firewall.sh" je n'ai plus de dns ainsi que de proxy que ce soit transparent ou non... mais je posséde toujour la connection vue que la radio de winamp marche toujour etc ... je ne posséde juste plus de proxy ni de dns ...


Je pence que dans mon fichier "Firewall.sh" je doit avoir 2 erreur :
 

  • 1. sur le DNS
  • 2. sur le proxy trensparent


Je ne suis pas une téte en iptables ... je suis aussi a la recherche de bonne documentation sur iptables sur le NAT .
 
Si vous avez des idée ...


Message édité par watcher le 26-01-2006 à 18:19:06
Reply

Marsh Posté le 26-01-2006 à 16:42:16   

Reply

Marsh Posté le 27-01-2006 à 13:47:54    

Personne peut m'aidez .... ? ....  :??:  

Reply

Marsh Posté le 27-01-2006 à 14:55:57    

1. Je pense qu'il faudrait également autoriser ton DNS à sortir sur internet pour faire ses requêtes (si tu ne t'en sers pas exclusivement comme DNS interne)
 
2. Qu'est ce qui se passe quand tu fais une requète http quand ton script de firewall est activé? (tu as une page d'erreur du proxy ou erreur 404)


---------------
Fais le ou ne le fais pas, mais il n'y a pas d'essai !!!
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed