Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 07/11/2012, à 12:28

linuxsn

firewall sur un serveur DHCP

Bonjour ,

J'essaie de configurer un firewall matériel sur un PC avec deux cartes réseaux ethernet.
La configuration est la suivante :

            INTERNET ------------------[ Modem ]------------[ antenne outdoor1]  (((((())))))) [ antenne outdoor2]---- eth1 FIREWALL eth0-----LAN

Modem 10.0.0.1/24
antenne 1 : 10.0.0.2/24
antenne 2: 10.0.0.3/24

Firewall
eth1 10.0.0.4/24
eth0 10.0.0.5/24

Le réseau local est connecté au modem grâce une liaison radio de type 802.11g.L'objectif est de mettre en place sur le réseau local un firewall qui permettra filtrer les paquets entrants et sortants en autorisant que certains ports . Pour ce faire j'utilise le script suivant  aprés avoir activer le port forwarding :

#!bin/bash

iptables -F
iptables -X

# blocage par defaut de toutes les connexions

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# deblocage pour les connexions deja ouvertes
iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# boucle locale
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

# LAN

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
# autoriser ICMP sur les deux interfaces
iptables -A INPUT -i eth1 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth1 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p icmp -j ACCEPT
iptables -A OUTPUT -o eth0 -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# ouvrir les ports suivants
iptables -A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 123 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 445 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --dport 25 -j ACCEPT

# Serveur DNS entrantes

iptables -A INPUT -i eth0 -p udp  --dport 53 -j ACCEPT

# blocage des scans XMAS et NULL
iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH,PSH FIN,URG,PSH -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP
iptables -A INPUT -p tcp --tcp-flags ALL NONE  -j DROP
iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

iptables -A INPUT -j DROP
iptables -A INPUT -j DROP


Mais j'ai toujours pas le resultat escompté . Les PC du reseau local n'ont toujours pas d'accés internet .
J'ai dû faire une ou plusieurs erreurs .Merci de m'aider svp

Hors ligne

#2 Le 07/11/2012, à 14:17

tiramiseb

Re : firewall sur un serveur DHCP

Tu as mal interprété le rôle des chaînes iptables :
- INPUT reçoit les paquets à destination du firewall
- OUTPUT reçoit les paquets provenant du firewall
- FORWARD reçoit les paquets traversant le firewall

Pour ce que tu veux faire, l'idéal est de créer une nouvelle chaîne (que tu appellerais par exemple "sortie_reseau"), y rediriger l'ensemble des paquets en "FORWARD" provenant de ton réseau interne (eth0), et mettre tes règles là-dedans.

Tu as également oublié le masquerading.

Quoi qu'il en soit, je te conseille d'utiliser un logiciel plus haut niveau qu'IPTables pour configurer ton firewall, par exemple Shorewall.

Dernière modification par tiramiseb (Le 07/11/2012, à 14:18)

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#3 Le 08/11/2012, à 11:28

linuxsn

Re : firewall sur un serveur DHCP

Merci t'avoir répondu . Je vais revoir les règles iptables .Puisque le firewall n'est pas directement connecté au modem qui assure la fonction de NAT , je croyais qu'il n'est pas necessaire de faire du masquerading

Hors ligne

#4 Le 08/11/2012, à 11:30

tiramiseb

Re : firewall sur un serveur DHCP

Puisque le firewall n'est pas directement connecté au modem qui assure la fonction de NAT , je croyais qu'il n'est pas necessaire de faire du masquerading

Ça dépend. Si ton modem sait router vers le LAN, alors en effet pas besoin de masquerading.
Mais si ton modem est une box et/ou que la route vers ton LAN n'est pas configurée, alors il faut du masquerading sur le firewall sinon le modem ne saura pas où renvoyer les paquets.

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

#5 Le 09/11/2012, à 11:59

linuxsn

Re : firewall sur un serveur DHCP

le modem est de type linksys wag160N  et le nat est activé. j'ai corrigé mon script et ajouté les règles FORWARD pour permettre à mon réseau local d’accéder au net. j'arrive à pinger tous les hotes à partir du firewall lui même .Cependant j'ai pas de réponse si j'utilise un pc du réseau local

iptables -A FORWARD -i eth0  -o eth1  -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT

meme un  

 sudo /etc/init.d/iptables stop

  donne le même résultat

Hors ligne

#6 Le 10/11/2012, à 09:39

tiramiseb

Re : firewall sur un serveur DHCP

linuxsn a écrit :

j'ai pas de réponse si j'utilise un pc du réseau local

Tu n'obtiens pas de réponse quand tu fais quoi ?

Que donnent les traces TCP sur le firewall ?

Sébastien Maccagnoni - https://www.maccagnoni.eu - https://www.domotego.com

Hors ligne

Pages : 1