Petite question Firewall [IPTABLES]

Marsh Posté le 24-01-2003 à 05:33:10

Voila, je suis en train de me mettre à iptables, et j'aurais voulu savoir si les regles suivantes correspondent bien aux commentaire qui les precedent ........ je suis pas tjr sur de tout comprendre, donc je préfére partir sur de bonnes bases

NET------>GATEWAY------->LAN

Code :

mise à zero des regles + TOUT refuser
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Code :

tout accepter sur lo (localhost) les services internes
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Code :

mise en place du masquering & accepter les requetes vers le NET venant du LAN ($INTRA correspondant à la plage ip de mon LAN)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $INTRA -j MASQUERADE
iptables -A FORWARD -s $INTRA -j ACCEPT

et aprés ça il ne me reste qu'a ouvrire les ports et services sur la gateway ??

---------------
-= Curses Fan =-

Reply

Marsh Posté le 24-01-2003 à 05:33:10

Reply

Marsh Posté le 24-01-2003 à 08:37:55

mouais c'est pas mal

pour la purge j'aurais rajoute ca:
iptables -t nat -F
iptables -t nat -X

Reply

Marsh Posté le 24-01-2003 à 08:45:24

ok :jap:
ce qui remet les tables nat à zero je suppose :??:

---------------
-= Curses Fan =-

Reply

Marsh Posté le 25-01-2003 à 00:49:25

tout a fait

Reply

Marsh Posté le 25-01-2003 à 01:43:08

à mon avis avec ça tu vas pas aller loin
tu accept les connexion vers le net mais tu acceptes pas leur réponse
il te faut :

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -i ! $INTERFACE_INTERNET -j ACCEPT

avec ça tu laisses rentrer les paquets venant des connexions établies
je ne sais pas ce qu'il en est pour l'udp
il semblerait que ça marche comme ça bizarrement ...
sinon, évite les "-s ip" et privilégie les "-i/o interface" (c'est plus fiable)

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

Reply

Marsh Posté le 25-01-2003 à 02:44:34

Oui, évite de travailler sur les ip, mais plus sur les interfaces.

De une, ce sera un peu plus clair dans ton esprit.
De deux, bin pareil !

Non, plus sérieusement : rien ne prouve que l'ip sur laquelle tu travail est bien une ip qui se trouve sur ton LAN !!!
C'est peu probable, mais possible.
Tandis qu'une interface est plus difficile à faire fonctionner en dehors de ton PC .

Et puis aussi, préfère préciser l'interface sur laquelle s'applique la règle, plutôt que de dire sur laquelle elle ne s'applique pas. (c'est un po pour toi aussi udok)
... po claire

Bon, et bien préfère un :

Code :

iptables -A FORWARD -i $LAN_IFACE -m state --state NEW -j ACCEPT

au :

Code :

iptables -A FORWARD -m state --state NEW -i ! $INTERFACE_INTERNET -j ACCEPT

Mais ça, c'est plus mon esprit cartésien qui parle là.

Le passant.

Reply

Marsh Posté le 25-01-2003 à 15:51:47

Merci beaucoup pour vos conseilles :jap: (c agreable des explications pédagogiques)

du coup j'en suis là

Code :

Mise à Zero des tables & régles par default
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

Code :

Acces total localhost & LAN
iptables -A INPUT -i $INT_LOC -j ACCEPT
iptables -A OUTPUT -o $INT_LOC -j ACCEPT
iptables -A INPUT -i $INT_LAN -j ACCEPT
iptables -A OUTPUT -o $INT_LAN -j ACCEPT

Code :

Mise en Place du masquering et forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $INT_INT -j MASQUERADE
iptables -A FORWARD -i $INT_LAN -o $INT_INT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_INT -o $INT_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT

Voila, si vous voyez quelque chose qui vas pas ......

---------------
-= Curses Fan =-

Reply

Marsh Posté le 25-01-2003 à 16:34:13

Ogg a écrit :

Merci beaucoup pour vos conseilles :jap: (c agreable des explications pédagogiques)

du coup j'en suis là

Code :

iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

tu mets ça pourquoi ?

Reply

Marsh Posté le 25-01-2003 à 16:40:19

Pour pas à avoir à le faire plus tard , puis de toutes façon tt est bloquer au niveaux filtre ...

ça te parrait pas top ?

---------------
-= Curses Fan =-

Reply

Marsh Posté le 25-01-2003 à 16:42:52

Ogg a écrit :

Pour pas à avoir à le faire plus tard , puis de toutes façon tt est bloquer au niveaux filtre ...

ça te parrait pas top ?

bah je vois pas trop à quoi ça sert

Reply

Marsh Posté le 25-01-2003 à 16:42:52

Reply

Marsh Posté le 27-01-2003 à 15:25:56

udok a écrit :

bah je vois pas trop à quoi ça sert

Ce n'est qu'une question de rigueur :jap: .

C'est exactement comme pour la table filter, si tu ne précises rien, tu va utiliser la policy déjà spécifié : rien ne te dit que la définition est ce que toi tu souhaites !

Pour Mangle et Nat c'est la même chose : mieux vaut TOUT préciser, comme ça tu évites les (mauvaises) surprises.

Sinon, pour te le reste, rien à redire .

Le passant.

Reply

Marsh Posté le 29-01-2003 à 23:43:19

Wouala ou j'en suis

INT_LAN=eth1
INT_INT=ppp0
INT_LOC=lo

#Mise à Zero des tables & secu par default
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
#Anti-Spoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $f; done
#Acces total localhost & LAN
iptables -A INPUT -i $INT_LOC -j ACCEPT
iptables -A OUTPUT -o $INT_LOC -j ACCEPT
iptables -A INPUT -i $INT_LAN -j ACCEPT
iptables -A OUTPUT -o $INT_LAN -j ACCEPT

#Mise en Place du masquering et forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $INT_INT -j MASQUERADE
iptables -A FORWARD -i $INT_INT -o $INT_LAN -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_INT -o $INT_LAN -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

#MISE EN PLACE DES FORWARDING AUTHORIZER EN SORTIE
#TCP (53->DNS) (80->HTTP) (443->HTTPS) (21->FTP) (5190->LICQ) (25->SMTP) (110->POP3) (5031->NTP)
#UDP (53->DNS) (80->HTTP) (443->HTTPS) (25->SMTP) (110->POP3)
PORT_OUT_TCP=53,80,443,21,5190,25,110,5031
PORT_OUT_UDP=53,80,443,25,110
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p tcp -m multiport --dport $PORT_OUT_TCP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p udp -m multiport --dport $PORT_OUT_UDP -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INT_LAN -o $INT_INT -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

---------------
-= Curses Fan =-

Reply

Marsh Posté le 30-01-2003 à 07:18:38

specifies les dns de ton fai en 'dur' genre -s 194.117.200.10 p tcp --sport 53

c'est toujours ca de gagne

Reply

Marsh Posté le 30-01-2003 à 08:10:56

apolon34 a écrit :

specifies les dns de ton fai en 'dur' genre -s 194.117.200.10 p tcp --sport 53

c'est toujours ca de gagne

Ok , si je comprend bien en mettant les dns en dur , au lieu d'ouvrire mon port 53, J'ACCEPT seulement les requetes allant et venant de mes DNS ? j'ai bon :??:

Message édité par Ogg le 30-01-2003 à 08:11:34

---------------
-= Curses Fan =-

Reply

Marsh Posté le 30-01-2003 à 13:15:34

:jap: !

Le passant.

Reply

Marsh Posté le 30-01-2003 à 13:22:09

y a ptèt des trucs qui pouront t'aider ici:

http://forum.hardware.fr/forum2.ph [...] h=&subcat=

Reply

Marsh Posté le 30-01-2003 à 13:28:46

HJ a écrit :

y a ptèt des trucs qui pouront t'aider ici:

http://forum.hardware.fr/forum2.ph [...] h=&subcat=

vui vui je m'en suis deja inspirer pour le multiport
merci :jap:

---------------
-= Curses Fan =-

Reply

Petite question Firewall [IPTABLES]

Sujets relatifs:

Leave a Replay