configuration iptables pour DMZ - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 19-11-2007 à 17:17:06
pour le firewall externe ouais, j'ai oublié quelque chose ?
sur le FW interne je l'ai juste activé pour le moment mais j'ai pas touché à la configuration encore
Marsh Posté le 19-11-2007 à 17:36:34
hmmmmm pourquoi 2 FW ???
Marsh Posté le 19-11-2007 à 18:13:30
parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ.
après le pourquoi du comment, j'en sais pas plus.
Marsh Posté le 19-11-2007 à 18:14:42
wadcyr8_197 a écrit : parce que c'est la config qu'on me donne. de plus, il me semble que c'est le format original d'une config de DMZ. |
heu non ... 1 Firewall du moment qu'il a trois pattes (de canard), il peut faire DMZ
Marsh Posté le 19-11-2007 à 18:17:49
j'ai pas dis le contraire, mais à l'origine on utilisait deux firewall
maintenant on en prend qu'un plus par soucis d'économie.
mais en l'occurrence, là n'est pas mon problème
Marsh Posté le 19-11-2007 à 18:18:45
ah oki .... c'est donc une "vieille structure" que tu as là !!!
Marsh Posté le 19-11-2007 à 18:21:08
appelle là vieille si tu veux, mais là n'est pas mon problème donc pour l'instant ce point là m'importe peu.
Marsh Posté le 19-11-2007 à 19:10:34
Concernant la conf ouais j'ai l'impression qu'il manque des choses tel que déjà l'output pour lo
djalex a écrit : |
Ya deux modèles principaux : le firewall à 3 pates ou le firewall front end/back end qu'on trouve ici. Au final c'est similaire, faut voir en fonction de la charge, de la protection voulue (typiquement on met pas le même FW en front et en back pour une sécu accrue) etc.
Marsh Posté le 19-11-2007 à 19:57:13
oui, pour lo c'est corrigé j'ai oublié de la remettre.
mais je ne pense pas que ça change grand chose. Pour le moment mon principale objectif c'est pouvoir lancer des ping entre les différents postes et rendre le serveur web accessible.
Marsh Posté le 19-11-2007 à 20:00:35
Décrit les flux à faire passer et transcrit le en syntaxe iptables en regardant bien le fonctionnement de chaque chain et en pensant aux paquets entrant et sortant
Marsh Posté le 19-11-2007 à 20:22:35
ben c'est ce que j'essaie de faire mais je vois pas trop comment faire ma chose juste pour un ping
normalement j'ai mon icmp qui doit entrer et sortir ou j'oublie quelque chose ?
Marsh Posté le 19-11-2007 à 20:26:12
Là ta règle dit que les paquets icmp (donc pas que le ping) peuvent sortir du firewall ou arriver sur le firewall.
Ils peuvent pas traverser.
Donc une machine de la DMZ peut pinger le firewall et une machine du net peut la pinger aussi.
Marsh Posté le 19-11-2007 à 20:40:08
donc il faudrait que je rajoute un forward aussi pour icmp
après pour la spécification du ping c'est des icmp-type 0 et 8 non ?
Marsh Posté le 19-11-2007 à 21:09:46
il me manque autre chose, parce que là maintenant
depuis le serveur web :
je ping les deux FW, mais pas le serveur BD ni les deux postes attaquant et administrateur
en faisant un tcpdump ça confirme ce que je pensais, le FW externe est toujour bloquant et je comprends pas pourquoi ?
Marsh Posté le 19-11-2007 à 16:52:25
Salut à tous,
je suis en train de simuler avec des vmwares la configuiration de ce réseaux
les machines sont toutes sur des ubuntu-serveur sauf les deux postes admin et attaquant qui sont en xubuntu.
J'ai plusieurs contraintes à respecter :
- mes machines internet à mes réseaux doivent pouvoir se pinguer et pinguer l'extérieur du réseaux
- serveur web accessible sur le port 80 aussi bien de l'intérieur que l'extérieur de mon réseau
- poste admin peut se connecter au serveur web sur le port 8080 pour l'administrer
- serveur web se connecte au serveur base de donnée sur le port 3308
j'aurais besoin d'un peu d'aide pour la configuration de iptables sur les deux firewall parce que je galère un peu.
au niveau adressage je n'ai pas de problème, si je n'active pas iptables mes 5 machines peuvent se pinguer entre elles mais pas la machine attaquante (normal pas de nat)
voici mon plan d'adressage que j'utilise pour ma simulation :
réseau Internet 123.0.0.0/8
réseau DMZ 172.17.0.0/24 passerelle 172.17.0.254
réseau Serveurs 172.16.8.0/24 passerelle 172.16.8.254
réseau Administration 192.168.0.0 passerelle 192.168.0.254
Poste attaquant Eht0 123.99.99.99
Pare-Feu Externe Eth1 123.4.5.6
Pare-Feu Externe Eth2 172.17.0.254
Serveur Web Eth1 172.17.0.80
Pare-Feu Interne Eth1 172.17.0.2
Pare-Feu Interne Eth2 172.16.8.254
Pare-Feu Interne Eth3 192.168.0.254
Serveur de BD Eth1 172.16.8.8
Poste d’Administration Eth0 192.168.0.10
pour le moment, sur le firewall externe j'ai fait ceci
avec ceci sur le firewall extern et la config par défaut sur le firewall interne, je n'arrive à faire des pings qu'à l'intérieurs de mes sous-réseaux, entre les sous réseaux admin et serveur, mais pas avec le réseaux DMZ ou avec l'extérieur
et même mon serveur web n'est pas accessble sur le port 80 par mes deux postes admin et attaquant.
Quelqu'un peut m'aider rapidement, je deviens fou et je doit faire ça finir ça pour mardi soir.
merci d'avance
Wad