[IPTABLES] Plus d'accès au réseau local une fois le POSTROUTING enlevé

Marsh Posté le 01-09-2011 à 21:35:47

Bonsoir,

Sur mon serveur je possède deux interfaces, ETH0 pour l'internet et ETH1 pour le local.
Je fais du PREROUTING afin de pouvoir accéder à des serveurs WEB, SSH, etc.. de l'internet vers mon réseau local, la directive de POSTROUTING MASQUERADE est en place.

Dans cette configuration, depuis le routeur je peux faire un SSH vers les serveurs de mon réseau local, jusque là tout va bien.

Le problème que je rencontre actuellement est que je souhaites faire en sorte que mon serveur de messagerie par exemple sorte avec sa propre IP publique et non celle du routeur. Pour se faire je supprime donc l'option MASQUERADE, le serveur sort bien avec sa propre IP mais je ne peux plus faire de SSH (par exemple) sur les serveurs présents dans mon réseau local.

Voici mon script :

Code :

#!/bin/bash -x
WAN="eth0"
LAN="eth1"
IPTABLES=$(which iptables)
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "1024" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
# Filtre la table FILTER.
/sbin/iptables -F
/sbin/iptables -F -t nat
/sbin/iptables -F -t mangle
# Supprime toutes les regles.
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
# Accepte toutes les connexions sur l'interface loopback.
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# Accepte tout le trafic entrant et sortant sur ETH1 (reseau local).
/sbin/iptables -A INPUT -i ${LAN} -j ACCEPT
/sbin/iptables -A OUTPUT -o ${LAN} -j ACCEPT
# Autorise les paquets a sortir vers l'internet.
/sbin/iptables -A OUTPUT -o ${WAN} -j ACCEPT
# Autorise les nouvelles connexions etablies par la passerelle a passer le pare-feu.
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Active le routage des paquets.
/sbin/iptables -A FORWARD -i ${LAN} -j ACCEPT
/sbin/iptables -A FORWARD -o ${LAN} -j ACCEPT
# Active l'option de masquage des adresses IP locales vers l'internet.
/sbin/iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE
# Ouverture des ports 22,80,443 et 1311.
/sbin/iptables -A INPUT -i ${WAN} -p tcp -m state --state NEW -m multiport --destination-port 22,80,443,1311 -j ACCEPT
/sbin/iptables -A INPUT -i ${WAN} -p udp -m state --state NEW -m multiport --destination-port 623 -j ACCEPT
# Accepte le ping.
/sbin/iptables -A INPUT -p icmp -j ACCEPT
NAT_DIRECTORY="/etc/firewall/nat"
# Redirige les requetes venant de l'adresse IP public vers un serveur en local.
for I in $(ls ${NAT_DIRECTORY}/*.conf); do
. ${I}
/sbin/iptables -t nat -A PREROUTING -p ${PROTOCOL} -i ${DEVICE} -m multiport --dport ${PORTS} \
-d ${SOURCEIP} -j DNAT --to-destination ${DESTINATIONIP}
iptables -t nat -A POSTROUTING -s ${DESTINATIONIP} -o ${DEVICE} -j SNAT --to-source ${SOURCEIP}
done

Qu'ai-je oublié ?

Merci.

Message édité par goldyfruit le 01-09-2011 à 21:37:11

---------------
http://wiki.incloudus.com/display/DOC | http://blog.incloudus.com | http://wiki.goldzoneweb.info | http://www.stendhalclub.fr

Reply

Marsh Posté le 01-09-2011 à 21:35:47

Reply

Marsh Posté le 01-09-2011 à 22:46:20

Si j'ai bien compris ton histoire, dans ta chaine POSTROUTING il te faut :
- filter / restreindre ton SNAT uniuqmenent sur le flux que tu veux (en l'occurence, le flux de messagerie / @serveur de messagerie). ça a priori tu le fais déjà (-s $(DESTINATION)
- faire ton masquerade sur le reste des flux, par contre du coup ça tu ne le fais plus, le trafic sort avec une adresse source non natée, inconnue des tables de routage => route par défaut, bye bye le paquet sur le net

Message édité par o'gure le 01-09-2011 à 22:49:20

Reply

[IPTABLES] Plus d'accès au réseau local une fois le POSTROUTING enlevé

Sujets relatifs:

Leave a Replay