Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 16-05-2017 12:17:14

Kraven
Membre
Inscription : 29-03-2017

Gateway vers Lan connexion internet

Bonjour,
J'ai actuellement 5 VMs : Une gateway avec 2 cartes réseaux eth0 en NAT et eth1 en réseau interne, 3 debian serveurs avec eth0 en réseau interne et 1 ubuntu client en réseau interne aussi.
Je suis censée faire passer internet via la Gateway vers mes machines. Actuellement j'arrive à ping 8.8.8.8 depuis toutes mes machines mais bizarrement quand je fais un

apt-get update



Je reçois des messages disant que je n'arrive pas à joindre ftp.fr.debian.org. Je ne pense pas que ça vienne de mon source.list parce que je l'ai déjà modifié en rajoutant des "main contrib non free" mais ça ne marche toujours pas. Je pense que je n'envoie pas les bonnes données via mes règles iptables. Je vous mets mon firewall :

#!/bin/bash

#constantes
IPT="/sbin/iptables"
IPTS="/sbin/iptables-save"
IPTR="/sbin/iptables-restore"

#internet
WAN_IFACE="eth0"
#local
LAN_IFACE="eth1"
#adresse Gateway
LAN_IP="192.168.31.136"
LAN_NET="192.168.88.0/24"
LAN_BCAST="192.168.88.255"
#loopback
LOOP_IFACE="lo"
LOOP_IP="127.0.0.1"

#start script

sudo $IPT -P INPUT ACCEPT
sudo $IPT -P OUTPUT ACCEPT
sudo $IPT -P FORWARD ACCEPT
sudo $IPT -t nat -P PREROUTING ACCEPT
sudo $IPT -t nat -P POSTROUTING ACCEPT
sudo $IPT -t nat -P OUTPUT ACCEPT
sudo $IPT -t mangle -P PREROUTING ACCEPT
sudo $IPT -t mangle -P OUTPUT ACCEPT

sudo $IPT -F
sudo $IPT -t nat -F
sudo $IPT -t mangle -F
sudo $IPT -X
sudo $IPT -t nat -X
sudo $IPT -t mangle -X

#block trafic
sudo $IPT -P INPUT DROP
sudo $IPT -P OUTPUT DROP
sudo $IPT -P FORWARD DROP

sudo $IPT -N bad_packets
sudo $IPT -N bad_tcp_packets
sudo $IPT -N icmp_packets

#udp packets
sudo $IPT -N udp_inbound
sudo $IPT -N udp_outbound

#tcp packets
sudo $IPT -N tcp_inbound
sudo $IPT -N tcp_outbound

#function bad_packets, interve vers firewall (WAN)

sudo $IPT -A bad_packets -p ALL -i $WAN_IFACE -s $LAN_NET -j DROP
sudo $IPT -A bad_packets -p ALL -m state --state INVALID -j DROP
sudo $IPT -A bad_packets -p tcp -j bad_tcp_packets
sudo $IPT -A bad_packets -p ALL -j RETURN

#function bad_tcp_packets
sudo $IPT -A bad_tcp_packets -p tcp -i $LAN_IFACE -j RETURN
sudo $IPT -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
sudo $IPT -A bad_tcp_packets -p tcp -j RETURN

#function icmp_packets
sudo $IPT -A icmp_packets --fragment -p ICMP -j DROP
sudo $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
sudo $IPT -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
sudo $IPT -A icmp_packets -p ICMP -j RETURN

#function udp_inbound udp (WAN) seulement new
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 137 -j DROP
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 138 -j DROP
sudo $IPT -A udp_inbound -p UDP -s 0/0 --destination-port 113 -j REJECT
sudo $IPT -A udp_inbound -p UDP -s 0/0 --source-port 67 --destination-port 68 -j ACCEPT
sudo $IPT -A udp_inbound -p UDP -j RETURN

#function udp_outbound bloque accès internet
sudo $IPT -A udp_outbound -p UDP -s 0/0 -j ACCEPT

#function tcp_inbound connexion tcp venant internet jusqu'au LAN
sudo $IPT -A tcp_inbound -p TCP -j RETURN

#function tcp_outbound bloque sortie paquet tcp du réseau LAN
sudo $IPT -A tcp_outbound -p TCP -s 0/0 -j ACCEPT

#INPUT CHAIN
sudo $IPT -A INPUT -p ALL -i $LOOP_IFACE -j ACCEPT
sudo $IPT -A INPUT -p ALL -j bad_packets
sudo $IPT -A INPUT -p ALL -d 224.0.0.1 -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $LAN_IFACE -s $LAN_NET -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST -j ACCEPT
sudo $IPT -A INPUT -p ALL -i $WAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
sudo $IPT -A INPUT -p TCP -i $WAN_IFACE -j tcp_inbound
sudo $IPT -A INPUT -p UDP -i $WAN_IFACE -j udp_inbound
sudo $IPT -A INPUT -p ICMP -i $WAN_IFACE -j icmp_packets
sudo $IPT -A INPUT -m pkttype --pkt-type broadcast -j DROP
sudo $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#FORWARD CHAIN
sudo $IPT -A FORWARD -p ALL -j bad_packets
sudo $IPT -A FORWARD -p TCP -i $LAN_IFACE -j tcp_outbound
sudo $IPT -A FORWARD -p UDP -i $LAN_IFACE -j udp_outbound
sudo $IPT -A FORWARD -p ALL -i $LAN_IFACE -j ACCEPT
sudo $IPT -A FORWARD -i $WAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT

#OUTPUT CHAIN
sudo $IPT -A OUTPUT -m state -p icmp --state INVALID -j DROP
sudo $IPT -A OUTPUT -p ALL -s $LOOP_IP -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $LOOP_IFACE -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $LAN_IFACE -j ACCEPT
sudo $IPT -A OUTPUT -p ALL -o $WAn_IFACE -j ACCEPT

sudo $IPT -t nat -A POSTROUTING -o $WAN_IFACE -j MASQUERADE



J'ai suivi des exemples pour le faire, j'ai compris la plupart des choses mais certains restent flous je dois bien l'avouer. Du coup je me demandais s'il n'y avait pas quelque chose que j'avais mal configurer dans mon firewall qui empêcherait de faire correctement passer internet et pas juste les paquets ICMP.
Merci de votre aide !

Dernière modification par Kraven (16-05-2017 12:17:31)

Hors ligne

#2 16-05-2017 15:02:56

potemkine17
Membre
Distrib. : Débian 9
Noyau : i386
(G)UI : LXDE
Inscription : 17-09-2014

Re : Gateway vers Lan connexion internet

Bonjour,
Cela ne serait pas lier à ceci  "https://debian-facile.org/viewtopic.php?id=17684 "?

Hors ligne

#3 16-05-2017 15:19:20

Kraven
Membre
Inscription : 29-03-2017

Re : Gateway vers Lan connexion internet

Bonjour,
Mince du coup ça veut dire que je devrais changer mon source.list pour changer les ftp, voire si c'est bien cela qui affecte mon firewall ?
Je vais changer tout ça et revenir vers vous.
Mais en attendant j'ai mis sur une de mes machines dans /etc/resolv.con : nameserver 8.8.8.8 et là je peux faire mes updates ou des installation.
Est-ce que ça ne voudrait pas dire que le problème vient d'ailleurs ?

Hors ligne

#4 16-05-2017 20:50:20

raleur
Membre
Inscription : 03-10-2014

Re : Gateway vers Lan connexion internet

Que contenait resolv.conf auparavant ?

Hors ligne

#5 17-05-2017 09:48:26

Kraven
Membre
Inscription : 29-03-2017

Re : Gateway vers Lan connexion internet

Il n'y avait que :

domain localdomain
search localdomain
nameserver 192.168.88.1



Et du coup dedans j'ai rajouté:

nameserver 8.8.8.8
nameserver 8.8.4.4

Hors ligne

#6 17-05-2017 11:00:45

raleur
Membre
Inscription : 03-10-2014

Re : Gateway vers Lan connexion internet

A quoi correspond l'adresse 192.168.88.1 ? Est-ce une machine du LAN sur laquelle tourne un serveur DNS ?

PS : il y a une incohérence dans les variables de ton script :

LAN_IP="192.168.31.136"
LAN_NET="192.168.88.0/24"
 


L'adresse IP LAN de la machine devrait faire partie du préfixe LAN, non ?

Hors ligne

#7 17-05-2017 11:51:00

Kraven
Membre
Inscription : 29-03-2017

Re : Gateway vers Lan connexion internet

Ce n'est pas une machine que j'ai, après elle fait partie du réseau que j'ai. Je n'ai pas encore de DNS.
Après je ne sais pas vu que c'était dans resolv.conf et c'était déjà comme ça je me suis dit de ne pas y toucher.
En fait j'ai suivi ce script : https://blog-du-grouik.tinad.fr/public/ … rewall.txt
Et pour LAN_IP il dit "Adresse de votre passerelle (Firewall)" et pour LAN_NET "(Sous-réseau avec le masque 255.255.255.0)"
Du coup de mon côté j'ai supposé ma passerelle = 192.168.31.136 et mon réseau interne 192.168.88.0/24.
Ce n'est pas correct ?

Hors ligne

#8 17-05-2017 13:38:02

raleur
Membre
Inscription : 03-10-2014

Re : Gateway vers Lan connexion internet

Si tu déclares comme DNS l'adresse d'un serveur qui n'existe pas, forcément, la résolution DNS ne va pas bien marcher...

Qu'appelles-tu "la passerelle" ? Cette VM "gateway" ou sa propre passerelle côté WAN (la machine hôte) ?
192.168.31.136, c'est l'adresse de quoi ?
Quelles sont les adresses sur eth0 et eth1 de la VM "gateway" ?

Hors ligne

#9 19-05-2017 10:49:04

Kraven
Membre
Inscription : 29-03-2017

Re : Gateway vers Lan connexion internet

Pardon je pensais avoir répondu !
192.168.31.136 c'est la première carte réseau de ma Gateway qui est en NAT, elle me permet d'aller sur internet.
192.168.88.254 c'est la deuxième carte réseau de ma Gateway elle est en réseau interne pour pouvoir communiquer avec les autres machines de mon réseau interne.
Du coup ma passerelle c'est ma Gateway.

Hors ligne

#10 19-05-2017 16:15:07

raleur
Membre
Inscription : 03-10-2014

Re : Gateway vers Lan connexion internet

Il serait plus logique que LAN_IP contienne 192.168.88.254, l'adresse de la gateway dans le réseau LAN, non ?
De toute façon cette variable ne sert pas à grand-chose : elle n'est utilisée que dans une règle qui est redondante.

PS : le nom de la variable $WAn_IFACE dans l'avant-dernière ligne est mal orthographié, la règle ne sera pas créée correctement.

Hors ligne

Pied de page des forums