Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 20-09-2011 13:09:04

kuch
Membre
Distrib. : Squeeze Poweredge 2600 et Mint11 LMDE Aspire 5736Z
(G)UI : Gnome dans les deux cas
Inscription : 14-07-2011

Probleme de firewall (shorewall) ?

Bonjour,
je vais essayer d'être le plus clair possible.
J'ai un serveur qui tourne sous debian stable.
Ce serveur dispose de 2 cartes réseau.
Sur l'interface eth0, il y a ma "box" internet.
Celle ci est configurée pour envoyer tout le trafic (via le DMZ) sans restriction sur le serveur.

Sur la seconde carte réseau du serveur (eth2), j'ai un switch sur lequel sont branchées toutes les machines.
L'interfac eth0 a une adresse 192.168.1.2
L'interfac eth2 a une adresse 192.168.10.20

Le serveur fait:
- firewall (shorewall)
- proxy (squid)
- contrôle parental (squidguard)
- serveur DHCP (en écoute des requêtes sur eth2)
- serveur web (agenda partage, scuttle, tests divers...)
- serveur mail

Tout ceci fonctionne très bien.
J'ai accès à mes serveurs web depuis l'extérieur, je reçois les mails, bref, ça roule.

Sauf que:
J'ai aussi un récepteur satellite qui embarque un serveur web (une dreambox 800 Hd pour ceux qui connaissent).
De l'intérieur du réseau, je m'y connecte sans soucis (via une application sur iphone).
Mais, impossible d'y accéder depuis l'extérieur.
Dans Squid, j'ai déclaré les ports (85 en normal, 445 en https). Ce sont ces ports qui sont configurés dans la dreambox également.
Shorewall est configuré comme ceci (shorewalll.rules):

HTTPS/ACCEPT net fw - - 445
HTTP/ACCEPT net fw - - 85
DNAT net loc:192.168.10.19:85 tcp 85 85
DNAT net loc:192.168.10.19:445 tcp 445 445

J'ai vérifié que Iptables laissait tout passer.

Tout les services qui tournent sur le serveur en lui même fonctionnent, mais les services qui tournent sur une autre machine ne fonctionnent pas, comme si le NAT ne transmettait rien.

Quelqu'un aurait-il une idée?
Merci d'avance
Kuch

Hors ligne

#2 23-09-2011 08:48:23

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : Probleme de firewall (shorewall) ?

La colonne "source port" peut être problématique, car un client ne va pas forcément utiliser comme port source de connexion le 85 ou le 445 (Par exemple il va utiliser le port 20124 pour se connecter sur port 85 du serveur web).

Donc sur un shorewall, ne précise jamais le port source du client, sa peu poser des soucis de manière générale. Pour plus d'info ouvre plusieurs site sur ton navigateur et fait un "netstat".

#ACTION     IP/DOM SRC                  IP/DOM DEST       PROTO       DEST PORT    SRC PORT
DNAT          net                             loc:192.168.10.19:85 tcp        85               85
DNAT          net                             loc:192.168.10.19:85 tcp        445             445


Dans ton cas, ta règle NAT serais plustôt celle-ci sous Shorewall.

DNAT     net    loc:192.168.10.19:85  tcp     85
DNAT     net    loc:192.168.10.19:445  tcp     445


PS : Normalement le HTTPS c'est 443, après si c'est au niveau des accés SMB que tu n'arrive pas, c'est qu'il manque des ouvertures de ports, mais je trouve la chose risquée de laisser un accés SAMBA accessible à n'importe quelle adresse IP depuis l'extérieur et avec une simple protection par MDP.

Dernière modification par mecanotox (23-09-2011 08:57:43)

Hors ligne

#3 23-09-2011 11:05:09

kuch
Membre
Distrib. : Squeeze Poweredge 2600 et Mint11 LMDE Aspire 5736Z
(G)UI : Gnome dans les deux cas
Inscription : 14-07-2011

Re : Probleme de firewall (shorewall) ?

Bonjour et merci,
je regarde cela dès ce soir.
Pour le SSL, je sais que le port par défaut est le 445.
Le soucis est que j'ai déjà un serveur qui fait du ssl sur le port 443. Ce serveur fonctionne correctement.
Comme il écoute le 443, je pensais que je ne pouvais pas utiliser le même port sur une autre machine.
Mais peut-être qu'avec la règle DNAT, ce raisonnement est erroné ?

Je ne met pas de partage SAMBA accessible depuis l'extérieur.

En tout cas, je vérifie cela dès cette fin d'après-midi et je poste un retour.

MErci encore.

Hors ligne

#4 27-09-2011 09:53:26

kuch
Membre
Distrib. : Squeeze Poweredge 2600 et Mint11 LMDE Aspire 5736Z
(G)UI : Gnome dans les deux cas
Inscription : 14-07-2011

Re : Probleme de firewall (shorewall) ?

Bonjour,
comme promis, un retour.
J'ai modifié les règles du firewall et cela ne change rien, je ne peux toujours pas me connecter.
Je vais essayer de lire les logs.

Kuch

Hors ligne

Pied de page des forums