Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-11-2014 13:17:00

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Iptables : Parefeu Passerelle pas d acces internet

Bonjour

configuration de mon reseau , l ordinateur B n'a pas d internet , je ping de l ordi B (192.168.10.1)  jusqu a la passerelle adsl 192.168.1.1
j ai rajouté 2 lignes recupéré sur le "wiki debian passerelle" pour la regle forward et tout fonctionne (ça revient a mettre forward a ACCEPT si je fait un iptables -L)
j en ai déduit que je n avait pas de DNS (mon dns est la passerelle adsl 192.168.1.1)

ADSL  _____(eth0)-ROUTEUR-(eth1)__
             |              +serveur DHCP)    |
             |                                         |
        réseau A                           réseau B
    192.168.1.0/24                        192.168.10.0/24
             |                                       |
       ordi A                                  ordi B
        192.168.1.22                       192.168.10.10



voici ma table des regles , si FORWARD a DROP pas d'acces internet.

   GNU nano 2.2.6                                                      Fichier : /etc/iptables.save                                                                                                                 
# Generated by iptables-save v1.4.21 on Sat Nov 15 04:58:33 2014


*mangle
:PREROUTING ACCEPT
:INPUT ACCEPT
:FORWARD ACCEPT
:OUTPUT ACCEPT
:POSTROUTING ACCEPT
-A PREROUTING -p tcp -m tcp --dport 3128 -j DROP
-A PREROUTING -p tcp -m tcp --dport 3129 -j DROP

*nat
:PREROUTING ACCEPT [3672:430026]
:INPUT ACCEPT [754:247868]
:OUTPUT ACCEPT [335:26723]
:POSTROUTING ACCEPT [8:634]
-A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.10:3129
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Nov 15 04:58:33 2014
# Generated by iptables-save v1.4.21 on Sat Nov 15 04:58:33 2014
 




*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [4:304]
:InComingSSH - [0:0]
#:ftp_in_accept - [0:0]
#:syn_flood - [0:0]
#-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
#-A INPUT -s 192.168.10.0/24 -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j InComingSSH
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
#-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -i eth1 -p tcp -m multiport --sports 80,443,8080 -j ACCEPT
#-A INPUT -s 192.168.10.0/24 -i eth1 -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
#-A INPUT -i eth0 -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -i eth1 -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 3/1 -j ACCEPT

#-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 2/sec -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 8 -j LOG --log-prefix "ICMP/in/8 Excessive: "
#-A INPUT -p icmp -m icmp --icmp-type 8 -j DROP
#-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
#-A INPUT -p icmp -m limit --limit 3/hour -j LOG --log-prefix "ICMP/IN: "
 



# pour autoriser la plateforme de jeux STEAM


#-A INPUT -i eth1 -p udp -m udp --sport 27000 -m state --state RELATED,ESTABLISHED -j ACCEPT
 






-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A FORWARD -p icmp -j ACCEPT
#-A FORWARD -s 192.168.10.0/24 -d 192.168.1.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
#-A FORWARD -s 192.168.1.0/24 -d 192.168.10.0/24 -p icmp -m icmp --icmp-type 0 -j DROP
#-A FORWARD -p icmp -m icmp --icmp-type 0 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 3/1 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 4 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 8 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 11 -j ACCEPT
#-A FORWARD -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o eth1 -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
#-A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8080 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -o eth1 -p tcp -m multiport --dports 80,443,8080 -j ACCEPT
#-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
#-A OUTPUT -o eth1 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
#-A OUTPUT -o eth0 -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -o eth1 -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 3/1 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
#-A OUTPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
#-A OUTPUT -p icmp -m limit --limit 3/hour -j LOG --log-prefix "ICMP/OUT: "
 



#  pour autoriser la plateforme de jeux STEAM


#-A OUTPUT -o eth1 -p udp -m udp --dport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 




#-A InComingSSH -j LOG --log-prefix "[INCOMING_SSH] : "
#-A InComingSSH -j ACCEPT
#-A ftp_in_accept -p tcp -j ACCEPT
#-A syn_flood -m limit --limit 1/sec --limit-burst 3 -j RETURN
#-A syn_flood -j LOG --log-prefix "[SYN_FLOOD] : "
#-A syn_flood -j DROP
COMMIT
# Completed on Sat Nov 15 04:58:33 2014
 

Dernière modification par robert2a (18-11-2014 03:47:00)

Hors ligne

#2 15-11-2014 13:32:13

bendia
Admin stagiaire
Distrib. : Jessie
Noyau : 3.16.0-4-amd64
(G)UI : Gnome + XFCE + Console
Inscription : 20-03-2012
Site Web

Re : Iptables : Parefeu Passerelle pas d acces internet

Salut robert2a smile J'ai mis le contenu de ton fichier entre des balises code afin qu'elle recoivent la coloration syntaxique. Tu peux editer ton message pour voir comment on s'y prend smile

Ben
___________________
La seule question bête, c'est celle qu'on ne pose pas.
file-Re06858991f6f328b4907296ac5cea283

Hors ligne

#3 15-11-2014 13:54:36

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Merci pas parfait mais surement mieux  smile

Hors ligne

#4 15-11-2014 14:29:17

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Tes règles originelles dans FORWARD n'acceptent pas les paquets UDP, donc forcément ça bloque le DNS qui utilise UDP.

Hors ligne

#5 15-11-2014 15:26:03

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

j ai rajoute 2 lignes pour  l udp c est correct , j ai le net.
2 questions
1) je laisse 2 ligne forward pour l udp et 2 pour le tcp ou je compile 2 lignes sans preciser udp ou tcp ?

2) pour steam je configure pour eth0 et eth1 (comme fait actuel ) ou eth1 suffit (fonctionne avec les 2 methodes , je garde la meilleure). et mes lignes sont correcte (hors tuto)

enfin il faudra penser a modifier le tuto , pour les futurs testeurs

sujet résolu , merci a vous tous et a bientot pour bind9 , proxy et autres smile
@++

Hors ligne

#6 15-11-2014 15:30:45

smolski
administrateur quasi...modo
Lieu : AIN
Distrib. : 8 (jessie) 64 bits + backports
Noyau : 4.6.0-0.bpo.1-amd64
(G)UI : gnome 3.14.1
Inscription : 21-10-2008

Re : Iptables : Parefeu Passerelle pas d acces internet

Peut-être mettre ce post en lien dans le tuto dèjà ?
Merci du retour et du bon boulot réalisé par tous les intervenants de ce post. smile

"Définition d'eric besson : S'il fallait en chier des tonnes pour devenir ministre, il aurait 2 trous du cul." - JP Douillon
"L'utopie ne signifie pas l'irréalisable, mais l'irréalisée." - T Monod (source :  La zone de Siné)
"Je peux rire de tout mais pas avec n'importe qui." - P Desproges
"saque eud dun" (patois chtimi : fonce dedans)

En ligne

#7 15-11-2014 16:36:44

Hypathie
Membre
Lieu : Chambéry _ Montréal
Distrib. : Jessie
Noyau : Linux debian 3.16.0-4-586
(G)UI : Cinnamon Mate Xfce
Inscription : 28-12-2013

Re : Iptables : Parefeu Passerelle pas d acces internet

robert2a a écrit :

1) je laisse 2 ligne forward pour l udp et 2 pour le tcp ou je compile 2 lignes sans preciser udp ou tcp



Comme tu veux pour que ça marche ; mais il veut toujours mieux préciser les choses.

robert2a a écrit :

2) pour steam je configure pour eth0 et eth1 (comme fait actuel ) ou eth1 suffit (fonctionne avec les 2 methodes , je garde la meilleure). et mes lignes sont correcte (hors tuto)



Je ferais comme ça :


-A INPUT -i eth1 -p udp -m udp --sport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 27000 -m state --state RELATED,ESTABLISHED -j ACCEPT
 



Il me semble bien qu'il est inutile d'ajouter des règles pour DNS sur FORWARD, à condition de l'avoir autorisé sur INPUT et OUTPUT, et d'ouvrir le passage sur forward avec suivi de connexion.

Surtout après ces deux lignes :



# -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT => me permet d avoir le net
# -A FORWARD -o eth0 -j ACCEPT
 



Pourquoi suivre la connexion pour ce qui vient qui vient de ton réseau interne et non sur ce qui vient de l'interface web ?

Il me semble que serait mieux (as-tu essayé ?) :


iptables -t filter -A FORWARD -i eth1 -o eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
 





En tout cas ça marche parfaitement dans mes tests comme proposé là.

smile

Hors ligne

#8 15-11-2014 17:35:45

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

tu n'a pas suivis le fil , le probleme vient de tcp , et comme tu a ecrit les lignes c est correct et il me semble que le tuto n est pas modifié , toujours tcp dans les 2 lignes.
je prend en compte pour steam et je teste 2 lignes seulement eth1 avec new et eth0 sans new. smile
et pour le forward entre les 2 cartes tout a fait d accord avec toi  seulement 2 ligne sans preciser le type tcp ou udp (donc par défaut on accepte les 2).
je teste ci dessous et je confirme que tous est correct.


iptables -t filter -A INPUT -i eth1 -p udp -m udp --sport 27000 -m state --state ,RELATED,ESTABLISHED -j ACCEPT
iptables -t filter -A OUTPUT -o eth1 -p udp -m udp --dport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
 




iptables -t filter -A FORWARD -i eth1 -o eth0 -s 192.168.1.0/24 -d 0.0.0.0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -s 0.0.0.0/0 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT
 



voila ce que j ai actuellement comme config et qui fonctionne
j ai dl des jeux a 512ko/s (pas essayer plus) , lancer steam puis half-life , puis half-life2 , je navigue sur le web
Pour les ip j ai repris celle du tuto (moi c est 192.168.10.0/24 )

bonne soirée et bon week

Dernière modification par robert2a (15-11-2014 21:35:15)

Hors ligne

#9 16-11-2014 01:25:36

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

robert2a a écrit :

1) je laisse 2 ligne forward pour l udp et 2 pour le tcp ou je compile 2 lignes sans preciser udp ou tcp ?

2) pour steam je configure pour eth0 et eth1 (comme fait actuel ) ou eth1 suffit (fonctionne avec les 2 methodes , je garde la meilleure). et mes lignes sont correcte (hors tuto)


1) Cela ne fait pas la même chose. Dans le premier cas cela n'accepte que les protocoles TCP et UDP, dans le second cela accepte tous les protocoles (TCP, UDP, ICMP, SCTP, GRE...). A toi de décider ce que tu veux.

2) Qui est-ce qui fait du STEAM ? Le routeur ou la machine B ? Si c'est seulement la machine B, alors tes règles dans INPUT et OUTPUT ne servent à rien ; il faut des règles dans FORWARD, comme pour le DNS.
Et ce ne sont pas les seules règles qui me semblent douteuses. Il y a en plus un tas de RELATED qui ne servent à rien d'autre qu'alourdir les règles. Ce serait bien que tu expliques le besoin de ce jeu de règles.

Hors ligne

#10 16-11-2014 01:30:20

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Iptables : Parefeu Passerelle pas d acces internet

Salut Raleur, salut robert2a,

Effectivement, je pense que comme tout le monde est en train d'apprendre ici, ce serait très profitable si vous pouviez expliquer au mieux ce que vous faites smile

@robert2a, si tu as les détails des règles que tu donnes, tout le monde en profitera !
@raleur: si tu expliques pourquoi certaines règles te semblent inutiles et ne font qu'alourdir le jeu de règles, c'est bien, mais si tu arrives à indiquer de quelles règles il s'agit, et à faire passer l'intuition de pourquoi elles sont superfétatoires, c'est mieux ! smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#11 16-11-2014 01:47:37

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Je peux me tromper, aussi je préfère attendre les précisions de robert2a sur le cahier des charges de son jeu de règles.

Hors ligne

#12 16-11-2014 11:07:07

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Iptables : Parefeu Passerelle pas d acces internet

Je ne comprends pas pourquoi "Il y a en plus un tas de RELATED qui ne servent à rien d'autre qu'alourdir les règles".  neutral

I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#13 16-11-2014 12:42:38

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

La plupart des règles qui contiennent l'état RELATED concernent des protocoles (HTTP, DNS, SSH, STEAM, commande FTP...) qui n'ont pas de paquets dans l'état RELATED.
Ici les seuls paquets susceptibles d'être dans l'état RELATED sont les messages d'erreur ICMP et le premier paquet des connexions de données FTP.

Hors ligne

#14 16-11-2014 13:35:27

paskal
autobahn
Lieu : ailleurs
Inscription : 14-06-2011
Site Web

Re : Iptables : Parefeu Passerelle pas d acces internet

Merci, et pourtant :

RELATED - The connection is new, but is related to another connection already permitted.

qui n'arriverait pas en FTP, par exemple ?

RELATED  meaning  that  the  packet  is  starting  a  new connection,  but  is  associated  with an existing connection, such as an FTP data transfer, or an ICMP error.

Est-ce une aberration ?


I'd love to change the world
But I don't know what to do
So I'll leave it up to you...

logo-sur-fond.png

Hors ligne

#15 16-11-2014 14:52:30

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Bonjour
en premier je tiens a préciser que raleur porte bien son nom  smile
Ce n'est pas moi qui est fait ce tuto donc , et personnellement je ne comprend pas toutes les regles.
pour ce qui est du passage entre les 2 cartes ça me derrange pas de tous laisser passer si c est en fonction des régles de filtrages .(ne pas préciser le type , udp tcp etc ...  )
raleur je suis preneur pour steam , modifier ma regle pour FORWARD (steam est bien installé sur une machine cliente du réseau B )

le tuto a été créer par Hypathie , donc la seule personne qui peut répondre a vos questions.

je veus juste l utiliser et l optimiser , j ai eu un probléme de dns j ai fait un post (j'avais pour ainsi dire la solution avant de m inscrire sur le forum ) mais comme la majorité des lignes que j ai rentré je ne les comprend pas difficile de juger ou d expliquer mais je suis motivé pour apprendre.

si Hypathie est d'accord , utilisons ce fil pour améliorer ce tuto.

Dernière modification par robert2a (16-11-2014 15:09:39)

Hors ligne

#16 16-11-2014 15:33:29

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Paskal :
C'est parfaitement exact. Mais comme indiqué cela ne concerne que les connexions FTP de données (issues du port 20 du serveur en mode actif, ports aléatoires en mode passif), pas les connexions FTP de commande sur le port 21. J'ajoute qu'il faut en sus que le module de suivi de connexion FTP du noyau nf_conntrack_ftp soit chargé, et que la connexion de commande FTP initiale soit en clair (non chiffrée par TLS/SSL) et sur le port standard 21 ou un port déclaré lors du chargement du module.

robert2a :
Je trouve que c'est un problème que tu ne comprennes pas le jeu de règles que tu utilises, car je ne vois pas comment tu peux l'adapter efficacement à tes besoins.
En fait j'aurais besoin que tu décrives tes besoins (je veux accepter ou bloquer tel type de trafic entre telle machine et telle machine) pour pouvoir te dire si le jeu de règles est adapté ou bien s'il accepte des choses qu'il devrait bloquer ou vice versa.

Hors ligne

#17 16-11-2014 16:49:15

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

@raleur

je me suis présenté sur le forum , j ai abandonné la solution d'utiliser un OS payant qui pour moi est du vol sans aucune garantie de sécurité qui devient n'importe quoi (j' ai testé la beta 10 , ne restons pas ignorant , je l'ai vite écrasé avec une debian . )
pour finir ce hors sujet , une license un pc , vous perdez une barrette memoire ou mieux un graveur dvd , license non valide bref au prix d une license ........
j'avais un parc de machines que j ai basculé en Wheezy en debut d'année (pas touché linux depuis 2001 .... ).
sauf 3 , une pour mon fils sur WoW smile , une pour moi (amortir la license ) et une pour mon site.
le reste pour un projet qui me tien a coeur "folding@home"
pour ce projet j ai tout installé derriere un serveur opteron (1cpu) avec 2 cartes réseau.
port nécéssaire 80 et 8080 , dns , dhcp.
le dhcp est sur le serveur et ne distribut qu au sous reseau (eth1 , machine linux) , celui de la boxtruc ne sert qu a pc sous licence payante smile
le dns est fournit par la box truc

ça c est la base , aprés il y a des projets , un dns sur le reseau linux , ftp , partage de fichier , proxy et résolution de nom . je crois que j oublie rien
le ftp , le partage et resolution des noms que sur le sous-réseau linux 
le réseaux  A ne  connait pas B (pas de routage ) mais B voient A (ping , boxmachin , imprimante )
pour terminer une imprimante réseau (sur ip fixe) sur le reseau A  utilisable sur le reseau B (linux)  idem serveur web (public) de A utilisable sur B.
Voila pour la description.

pour ta remarque sur le fait que je ne comprend pas tout , c est le cas de beaucoup d utilisateurs de linux en général et mdr je ne parle pas des autres sous OS non libre.
en fait je comprends certaines choses mais pas assez pour céer mon parefeu , pour le DHCP je l ai fait seul , et j ai meme  apporte ma pierre au tuto du site.
je consulte les docs , j'attrape des migraines  smile
Pour le dns je l ai installe , vite retiré pas assez de compétence , faut dire que j ai pris le wiki debian fr de bind9 , c est peut etre pas le mieux pour débuter
apres la question , un dns personnel (local) est ce vraiment utile en sachant que c est trés sensible pour la sécurité.
je me pose la meme question pour le proxy , si la sécurité est renforcé alors oui mais la aussi j ai besoin de bien comprendre le fonctionnement .
j'ai le temps pour faire tout ça , mon reseau tourne , jusqu a present je n etais que derriere la boxmachin , peut pas etre pire
depuis j ai bascule sur Jessie (et je ne regrette pas ) et je participe aux stats  (options a l install) .
Ma premiere contribution a été d acheter le livre " Wheezy " en librairie , ma référence ....... smile
J'espere avoir répondu a ta question

@++

Dernière modification par robert2a (16-11-2014 17:30:09)

Hors ligne

#18 16-11-2014 17:09:25

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Ce n'est pas ce que je demandais. Je n'ai pas dû être assez clair. Je demandais quels sont tes besoins précis en matière de filtrage des flux réseau.
Par exemple :
- accepter les connexion SSH depuis internet et le réseau A vers le routeur
- accepter les connexions STEAM, HTTP, HTTPS, DNS depuis le réseau B vers internet
- accepter les connexions FTP depuis le routeur vers internet et le réseau A
- accepter toutes les connexions dans les deux sens entre le serveur et le réseau B
etc.

Dernière modification par raleur (16-11-2014 17:10:07)

Hors ligne

#19 16-11-2014 17:25:27

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

ssh local sur reseau B uniquement (fonctionnel mais pas configuré ) serveur sur passerelle , client ssh sur reseau B
steam , http , https  internet
dns (si oui pour l instal  ) la box machin (pour résoudre) sinon n accepte que requetes des clients de B
ftp que sur le réseau B

la je comprends pas  => - accepter toutes les connexions dans les deux sens entre le serveur et le réseau B
etc.

Dernière modification par robert2a (16-11-2014 17:26:50)

Hors ligne

#20 16-11-2014 23:35:21

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Cette description reste beaucoup trop imprécise pour pouvoir la comparer au jeu de règle. J'ai donc pris le temps d'analyser ton jeu de règles pour que tu comprennes ce qu'il fait, et ainsi déterminer s'il correspond à ton besoin, ce qui manque et ce qui est en trop. Oui, c'est long et probablement aussi pénible à lire qu'à écrire.

-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn_flood
-A syn_flood -m limit --limit 1/sec --limit-burst 3 -j RETURN
-A syn_flood -j LOG --log-prefix "[SYN_FLOOD] : "
-A syn_flood -j DROP


Il n'y a pas de distinction de la source des paquets, donc cela limite aussi les communications entre processus locaux sur l'interface de loopback.
La limite de 1 connexion par seconde est beaucoup trop basse.

-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ftp_in_accept
-A ftp_in_accept -p tcp -j ACCEPT


Je suppose que cette règle a pour objet d'accepter les paquets entrants d'une connexion de données FTP passive existante.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets émis de cette connexion, ni de règle dans INPUT ou OUTPUT acceptant les paquets NEW créant cette connexion, donc il n'y aura jamais de paquets ESTABLISHED et la connexion va échouer.

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ftp_in_accept


Cette règle a pour objet d'accepter les paquets entrants d'une connexion de données FTP active provenant d'un serveur FTP auquel le routeur s'est connecté comme client.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets émis en réponse, donc la connexion va échouer.

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ftp_in_accept


Cette règle a pour objet d'accepter les paquets entrants d'une connexion de commande FTP avec un serveur FTP auquel le routeur s'est connecté comme client. Ce type de paquet ne peut pas avoir l'état RELATED.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets NEW émis, donc il n'y aura jamais de paquets ESTABLISHED reçus en réponse.

-A INPUT -s 192.168.10.0/24 -i eth0 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j InComingSSH
-A InComingSSH -j LOG --log-prefix "[INCOMING_SSH] : "
-A InComingSSH -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT


Apparemment c'est pour se connecter en SSH au routeur par eth0. Mais la première règle est absurde : elle n'accepte que les paquets reçus par eth0 avec une adresse source du réseau B connecté à eth1.

-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT


Ces règles acceptent les requêtes DNS émises par le routeur vers le réseau A et internet et les réponses reçues. Ces paquets ne peuvent avoir l'état RELATED.

-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8000 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p udp -m udp --dport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 27000 -m state --state RELATED,ESTABLISHED -j ACCEPT


Ces paquets ne peuvent avoir l'état RELATED. Le routeur a besoin de se connecter à des serveurs HTTP, HTTPS, sur le port 8000 (quel service ?) et STEAM sur le réseau A ou internet ?

-A OUTPUT -o lo -j ACCEPT
-A INPUT -i lo -j ACCEPT


Cela accepte tout le trafic entre processus locaux, mais après la limitation contre le SYN flood.

-A OUTPUT -o eth1 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT


Ces règles acceptent tous les paquets émis ou reçus entre le routeur et le réseau B. Toutes les règles suivantes (et les règles ACCEPT précédentes) relatives à eth1 dans INPUT et OUTPUT donc sont redondantes.

-A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT


Ces règles acceptent les requêtes DNS émises par le routeur vers le réseau B et les réponses reçues. Ces paquets ne peuvent avoir l'état RELATED.
Il y a vraiment un serveur DNS sur le réseau B ?

-A OUTPUT -o eth1 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 -s 192.168.10.0/24 -m conntrack --ctstate ESTABLISHED -j ACCEPT


Il y a des serveurs SSH dans le réseau B, avec lesquels le routeur a besoin de communiquer ?
Il est illogique de limiter l'adresse source dans les paquets de réponse entrants et de ne pas limiter l'adresse destination dans les paquets originels sortants. Cela signifie qu'on peut envoyer des requêtes mais refuser la réponse. Tu vas me rétorquer qu'il n'y a que des adresses en 192.168.10.0/24 sur eth1, mais alors pourquoi la vérifier dans un sens et pas dans l'autre ?

-A INPUT -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth1 -p udp -m udp --dport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 27000 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

-A OUTPUT -o eth1 -p tcp -m multiport --dports 80,443,8000 -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --sports 80,443,8000 -j ACCEPT


Ces paquets ne peuvent avoir l'état RELATED, sauf ceux avec le port source 20 pour les connexion de données FTP actives. Il y a des serveurs FTP, STEAM, DNS, HTTP, HTTPS et écoutant sur le port 8000 dans le réseau B, avec lesquels le routeur a besoin de communiquer ?

-A INPUT -i eth0 -p icmp -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT


Les paquets ICMP valides de ce type (echo reply) sont dans l'état ESTABLISHED, donc déjà acceptés par la règle précédente.

-A INPUT -p icmp -m icmp --icmp-type 3/4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3/3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3/1 -j ACCEPT


Les paquets ICMP valides de ce type (destination unreachable) ont l'état RELATED de même que tous autres les types d'erreur, donc sont déjà acceptés par la règle précédente.

-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT


Ce type (source quench) est obsolète et considéré comme dangereux, et a l'état RELATED donc est déjà accepté par la règle d'état précitée.

-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT


Les paquets ICMP valides de ce type (time exceeded) ont l'état RELATED.

-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT


Les paquets ICMP valides de ce type (parameter problem) ont l'état RELATED.

-A INPUT -p icmp -m limit --limit 3/hour -j LOG --log-prefix "ICMP/IN: "


Avec une limite à 3 paquets par heure, ça ne va pas logger grand-chose...

Je ne refais pas le discours pour les ICMP émis (OUTPUT) et retransmis (FORWARD).

# -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT => me permet d avoir le net
# -A FORWARD -o eth0 -j ACCEPT


Tu devrais spécifier les états NEW,ESTABLISHED,RELATED et l'interface d'entrée dans la règle vers internet. Sans cela, les paquets arrivant par eth0 à destination d'internet sont acceptés, ce qui n'est pas forcément une bonne chose. Les paquets dans l'état INVALID sont aussi acceptés mais ne subiront pas le MASQUERADE qui ne fonctionne que sur les paquets appartenant à des connexions valides.

-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT


Pourquoi n'accepter que les connexions en TCP sur n'importe quel port depuis les machines du réseau B vers les machines du réseau A, et pas les autres protocoles comme UDP ?

Dernière modification par raleur (16-11-2014 23:38:53)

Hors ligne

#21 17-11-2014 01:11:24

martinux_qc
Administrateur
Lieu : Montréal (Québec)
Distrib. : Sid
Noyau : Linux 4.7.0-1-amd64
(G)UI : XFCE 4.12
Inscription : 12-10-2008

Re : Iptables : Parefeu Passerelle pas d acces internet

Ben ça c'est une réponse détaillée monsieur ! smile

"L'éducation vise à former des citoyens pas trop tatas et non pas à envoyer le plus de tatas possible à l'université."
Pierre Foglia (Journaliste à la retraite à La Presse)
Note : au Québec, le mot tata a un sens péjoratif qui sert à désigner une personne un peu idiote ou insignifiante. D'où les expressions familières : Espèce de grand, de gros tata! Être, avoir l'air tata.

Hors ligne

#22 17-11-2014 03:45:05

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Bonsoir
c'est clair smile
et le post sur le proxy sur une passerelle va pas etre triste non plus ............

@++

ps: bon je réponds , morceau par morceau

le plus facile :
cité : raleur


# -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT => me permet d avoir le net
# -A FORWARD -o eth0 -j ACCEPT
 



réponse :
ceci n existe plus dans  iptables mit provisoirement pour retrouver le net (enlevé apres avoir autoriser tcp et udp entre les 2 cartes réseau)

cité : raleur

-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT

Pourquoi n'accepter que les connexions en TCP sur n'importe quel port depuis les machines du réseau B vers les machines du réseau A, et pas les autres protocoles comme UDP ?

réponse
voila la solution que j ai appliqué dans mon iptables (retié le -p tcp )

-A FORWARD -s 192.168.10.0/24 -i eth1 -o eth0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.10.0/24 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

je modifie le post du haut au fur et a mesure de mes réponses (la ou je décrit mon réseau ).
j ai installé un proxy transparent , dhcp et ssh serveur sur eth1 (réseau B) , le réseau A ne connait pas le B (pas de routage)
le réseau A ne me sert qu a joindre la passerelle adls (et dns) , une imprimante réseau et le net bien sur.
le ping de A ver B ne passe pas , aucun services de B ne devrait etre vu de A (ssh , proxy , dhcp et peut etre dns si je l installe sur B ) .
voila pour une premiere explication
ensuite pour tes remarques , icmp est t il vraiment nécessaire ?  si oui il faut donc l ameliorer

Dernière modification par robert2a (17-11-2014 21:28:30)

Hors ligne

#23 17-11-2014 21:26:37

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

voir post de hier , début des reponses
ceci sera retiré de mon iptables , je modifie mon iptables global ci dessus

cité: raleur

-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT

Ce type (source quench) est obsolète et considéré comme dangereux, et a l'état RELATED donc est déjà accepté par la règle d'état précitée.


je commence a mettre à jour mon iptables , je vai etre déco  smile

re

citer : raleur

-A INPUT -i eth1 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 27000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 27000 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m multiport --dports 80,443,8000 -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --sports 80,443,8000 -j ACCEPT

Ces paquets ne peuvent avoir l'état RELATED, sauf ceux avec le port source 20 pour les connexion de données FTP actives. Il y a des serveurs FTP, STEAM, DNS, HTTP, HTTPS et écoutant sur le port 8000 dans le réseau B, avec lesquels le routeur a besoin de communiquer ?


Réponses :
oui tous ses services sont sur le réseau B
pour l instant , seulement ssh , dhcp et proy sont installés  (sur la passerelle ) , pour ftp serveur pas encore fait mon choix , mais sera sur un client port par defaut (pas d acces de l exterieur ni de A )
pour le DNS je sais pas si utile pour quelques machines actuellement , si ce n est pour tester smile
non aucun logiciel a l ecoute sur le port 8000
pour le port 8000 je sais pas , j ai copié betement , par contre j ai un programme (fah) sur chaque client qui utilise le port 8080 (en priorité envoie et reception de fichiers )  (fonctionne actuellement si tu peut m expliquer comment )   smile
j ai modifié 8000 par 8080 pour mon logiciel fah

donc je retire les "RELATED" sur ce que tu a listé , sauf la regle du  port 20

definition de "RELATED" le serveur 2 reçoit le paquet SYN  (suite a un NEW du serveur 1)  et renvoie un accusé de réception SYN-ACK (synchronize ackowledgement ) .

si je prend l exemple du dns , un client fait une demande , c est ma passerelle adsl qui traite la requette et pas la passerelle de B , donc la poignée de main est entre la box machin et le client du réseau B .
Mon ip du dns du réseau est l ip de la boxmachin 192.168.1.1 donc pour eth1 de la passerelle ESTABLISHED suffit .
Mon raisonnement est correct ?

idem pour dns eth0

citer raleur
-A OUTPUT -o eth0 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

Ces règles acceptent les requêtes DNS émises par le routeur vers le réseau A et internet et les réponses reçues. Ces paquets ne peuvent avoir l'état RELATED.



c est modifié

pour le ftp vu que je n en ai pas , regles supprimées , je ferai quelque chose de propre .


citer : raleur

-A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ftp_in_accept
-A ftp_in_accept -p tcp -j ACCEPT

Je suppose que cette règle a pour objet d'accepter les paquets entrants d'une connexion de données FTP passive existante.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets émis de cette connexion, ni de règle dans INPUT ou OUTPUT acceptant les paquets NEW créant cette connexion, donc il n'y aura jamais de paquets ESTABLISHED et la connexion va échouer.

-A INPUT -i eth0 -p tcp -m tcp --sport 20 -m state --state RELATED,ESTABLISHED -j ftp_in_accept

Cette règle a pour objet d'accepter les paquets entrants d'une connexion de données FTP active provenant d'un serveur FTP auquel le routeur s'est connecté comme client.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets émis en réponse, donc la connexion va échouer.

-A INPUT -i eth0 -p tcp -m tcp --sport 21 -m state --state RELATED,ESTABLISHED -j ftp_in_accept

Cette règle a pour objet d'accepter les paquets entrants d'une connexion de commande FTP avec un serveur FTP auquel le routeur s'est connecté comme client. Ce type de paquet ne peut pas avoir l'état RELATED.
Mais il n'y a pas de règle correspondante dans OUTPUT acceptant les paquets NEW émis, donc il n'y aura jamais de paquets ESTABLISHED reçus en réponse.


regles retirées (quand meme tenir compte de la remarque de raleur pour le tuto du wiki du site afin d'avoir quelque chose de correct).

citer : raleur
-A OUTPUT -o eth1 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT

Ces règles acceptent tous les paquets émis ou reçus entre le routeur et le réseau B. Toutes les règles suivantes (et les règles ACCEPT précédentes) relatives à eth1 dans INPUT et OUTPUT donc sont redondantes.



ces regles ont été commenté pour l instant, a supprimer ( ps : aprés le reboot de la passerelle plus de web.....  a cause du proxy pas vu  )
donc regle en attente de suppression la j ai un gros soucis.

citer : raleur

-A OUTPUT -o eth1 -p udp -m udp --dport 53 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 53 -m state --state RELATED,ESTABLISHED -j ACCEPT

Ces règles acceptent les requêtes DNS émises par le routeur vers le réseau B et les réponses reçues. Ces paquets ne peuvent avoir l'état RELATED.
Il y a vraiment un serveur DNS sur le réseau B ?


non pas de dns sur le réseau B , je les gardes pour re-tester   bind9 (le dns sera sur la carte eth1 de la passerelle et fera les requets externe sur la passerelle adsl.)
je commente ces 2 lignes et je supprime RELATED

ça va de plus en plus mal , j ai commenté toutes les regles icmp pour l instant .

apres avoir commente icmp , ssh , dns inutile et avoir ajoute les regles mangle et nat pour le proxy , j aimerai comprendre pourquoi lorsque je supprime -A OUTPUT -o eth1 -j ACCEPT et  -A INPUT -i eth1 -j ACCEPT je n ai plus de web ?

ces  regles devraient suffire pour le web ?
-A OUTPUT -o eth1 -p tcp -m multiport --dports 80,443,8080 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m multiport --dports 80,443,8080 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i eth0 -p tcp -m multiport --sports 80,443,8080 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m multiport --sports 80,443,8080 -j ACCEPT

a moins que ce soit la redirection du DNAT pour le proxy du port 80
et je n ai pas modifié la table de routage serveur et client , mais le DNAT ce fait en interne de la passerelle entre le port 80 et 3129 , pour le client ça reste transparent port 80
je cherche et refaire un essaie sans les 2 lignes redondantes sur eth1

Dernière modification par robert2a (18-11-2014 02:44:01)

Hors ligne

#24 18-11-2014 01:55:11

raleur
Membre
Inscription : 03-10-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

Apparemment tu es encore en train de répondre à mes observations, donc je vais attendre que tu aies fini avant de répondre à mon tour.
Mais je vois déjà qu'il y a un très gros besoin d'explications, je sens que ça va nous prendre des jours.

PS : Pourrais-tu entourer les citations avec des balises QUOTE afin de les distinguer plus facilement de ton propre texte ? Merci d'avance.

Hors ligne

#25 18-11-2014 02:01:18

robert2a
Membre
Lieu : France
Distrib. : Stretch
Noyau : Linux 4.8.0-1-amd64
(G)UI : Mate 1.16.1
Inscription : 15-11-2014

Re : Iptables : Parefeu Passerelle pas d acces internet

du tuto parefeu

Objet : installer un pare-feu pour une passerelle
Niveau requis :
avisé
Commentaires : Fignoler le routage, installer un pare-feu sur une passerelle debian.
Débutant, à savoir : Utiliser GNU/Linux en ligne de commande, tout commence là !. :-)
Suivi :
à-tester, à-placer

    Création par Hypathie 14/10/2014
    Testé par <…> le <…>

#accepter le sous-réseau
/sbin/iptables -A INPUT -i eth1 -j ACCEPT
/sbin/iptables -A OUTPUT -o eth1 -j ACCEPT



donc toutes les regles sur eth1 ne serve a rien ?

ps: je fais une pause et je reviens "cotcot" mon post  smile

voila re j ai cot cot partout.....
il faut que tu regarde regle mangle et nat j ai ajoute des choses suite au proxy sur le post du départ ou je décrit mon reseau et mon iptables et je precise encore pas de routage dans table route (serveur ou client) donc le sous réseau B inconnu , juste nat qui permet d aiguiller les paquets (toutes les machines ont le dns 192.168.1.1 par défaut)
avec "accepter le sous réseau" tout est fonctionnel , je trouve le proxy un peu lent mais il doit y avoir des choses a ameliorer aussi sur sa config.
@++

Dernière modification par robert2a (18-11-2014 02:58:01)

Hors ligne

Pied de page des forums