iptables sur un proxy squid transparent - Sécurité - Systèmes & Réseaux Pro
MarshPosté le 03-05-2012 à 14:14:56
Bonjour,
je cherche à bloquer tous les ports en entrée sur l'interface du réseau connecté à squid. J'ai fait un tour dans la section recherche, et je suis tombé sur ce topic: http://forum.hardware.fr/hfr/syste [...] 6458_1.htm
Le problème est que je ne comprends pas le script final qui en ressort. Mon archi: 2 cartes réseaux, une dans le réseau de la free** et l'autre dans le réseau squid.
Le routage entre les deux cartes en passant par la redirection http/s vers le squid fonctionne bien. Mais si un pc est connecté dans le réseau squid et qu'il tente une connexion ssh sur l'ip de sa passerelle (donc le serveur squid), sa tentative est un succès même s'il n'a pas les identifiant de connexion.
Ce que je voudrai, c'est bloquer tous les ports en entrée de la carte réseau squid sauf le http/s et le dns.
Détails: SECURE_IFACE => interface dans lan connecté à internet RISKS_IFACE => interface dans le lan derrière le squid SQUID_SECURE_SERVER => ip du squid dans le lan connecté à internet SQUID_RISKS_SERVER => ip du squid dans le lan derrière le squid
Voilà mon iptables:
Code :
#!/bin/sh
# Variables
SQUID_SECURE_SERVER="192.168.2.43" # serveur Squid connecté au réseau sécurisé
SQUID_RISKS_SERVER="192.168.1.2" # serveur Squid au réseau à risques
SQUID_PORT="3128" # port du serveur squid
SECURE_LAN="192.168.2.0/24" # LAN sécurisé
RISKS_LAN="192.168.1.0/24" # LAN à risques
SECURE_IFACE="eth0" # interface connecté à internet
RISKS_IFACE="eth1" # interface connecté au réseau à risques
# Modules
/sbin/modprobe ip_conntrack
# Sysctl
echo 1 > /proc/sys/net/ipv4/ip_forward
#################################################
# Vider les tables actuelles
#################################################
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#################################################
# default policy : DROP
#################################################
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#iptables -N LOGDROP
#iptables -A LOGDROP -j LOG
#iptables -A LOGDROP -j DROP
#################################################
# accepte tout ce qui concerne l'interface loopback
#################################################
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#################################################
# on accepte les paquets relatifs aux connexions deja ouvertes
#################################################
# eth0
iptables -A INPUT -i $SECURE_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $SECURE_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# eth1
iptables -A INPUT -i $RISKS_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o $RISKS_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
Marsh Posté le 03-05-2012 à 14:14:56
Bonjour,
je cherche à bloquer tous les ports en entrée sur l'interface du réseau connecté à squid. J'ai fait un tour dans la section recherche, et je suis tombé sur ce topic:
http://forum.hardware.fr/hfr/syste [...] 6458_1.htm
Le problème est que je ne comprends pas le script final qui en ressort.
Mon archi: 2 cartes réseaux, une dans le réseau de la free** et l'autre dans le réseau squid.
Le routage entre les deux cartes en passant par la redirection http/s vers le squid fonctionne bien.
Mais si un pc est connecté dans le réseau squid et qu'il tente une connexion ssh sur l'ip de sa passerelle (donc le serveur squid),
sa tentative est un succès même s'il n'a pas les identifiant de connexion.
Ce que je voudrai, c'est bloquer tous les ports en entrée de la carte réseau squid sauf le http/s et le dns.
Si je modifie la règle
par
Et bien plus de net sur les machines clientes.
Détails:
SECURE_IFACE => interface dans lan connecté à internet
RISKS_IFACE => interface dans le lan derrière le squid
SQUID_SECURE_SERVER => ip du squid dans le lan connecté à internet
SQUID_RISKS_SERVER => ip du squid dans le lan derrière le squid
Voilà mon iptables:
Vous auriez une super idée ?